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21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮乏 , 远 远 不 能 满足 金融 商业、 公安 .军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信和 ,物理 、 数 学 等 领域 的 交 双 学科, 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 , 因 此 中 国 计 算 机 学 会 教 
育 专业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 "编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 脆性 
的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深入 。 系 
列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 诺 、 又 在 教学 第 一 线 有 丰富 
的 教学 经 验 的 学 者 、 专 家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

@ 体系 完整 结构 合理 、 内 容 先 进 。 

@ 适应 面 广 :能 够 满足 信息 安全 、 计 算 机、 通信 工程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

@ 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 ,习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科 学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 踪 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 如 入 到 系列 教材 中 ,以 进一步 
满足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 
年 初 正式 列 入 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 
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又 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 “ 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 成立。 经 组 织 审 
查 和 研究 决定 ,2014 年 以 “教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 
布 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正式 出 版 ) 。 

2015 年 6 月 ,国务院 学 位 委员 会 教育 部 出 台 增设 “网 络 空 间 安 全 ”为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空 间 安 全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 ( 下 文 简称 中 央 网 信 办 ) 、 国 家 发 展 和 改革 委员 会 .教育 部 ,科学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 (中 网 办 发 文 [2016]4 号 ) 。 为 贯彻 落实 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 》, 进 一 步 深 化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专业 建设 和 人 才 
培养 ,促进 网 络 空间 安全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 信 息 安 全 专业 教学 
指导 委员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空 
间 安 全 重点 规划 丛书 ?的 工作 ,由 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 秘书 长 封 
化 民 校 长 担任 编 委 会 主任 。 本 规划 丛书 基于 * 高 等 院 校 信息 安全 专业 系列 教材 "坚实 的 工 
作 基 础 和 成 果 、 阵 容 强大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教育 
部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 "“ 普 通 高 等 教育 精品 
教材 ”"“ 中 国 大 学 出 版 社 图 书 奖 ”" 和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 丛书 ?将 根据 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 )( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 .系统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 ,并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教材 建设 、 学 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn, 联 系 人 : 张 民 。 
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又 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 “ 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 成立。 经 组 织 审 
查 和 研究 决定 ,2014 年 以 “教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 
布 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正式 出 版 ) 。 

2015 年 6 月 ,国务院 学 位 委员 会 教育 部 出 台 增设 “网 络 空 间 安 全 ”为 一 级 学 科 的 决 
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和 人 才 培 养 的 意见 (中 网 办 发 文 [2016]4 号 ) 。 为 贯彻 落实 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 》, 进 一 步 深 化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专业 建设 和 人 才 
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指导 委员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空 
间 安 全 重点 规划 丛书 ?的 工作 ,由 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 秘书 长 封 
化 民 校 长 担任 编 委 会 主任 。 本 规划 丛书 基于 * 高 等 院 校 信息 安全 专业 系列 教材 "坚实 的 工 
作 基 础 和 成 果 、 阵 容 强大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教育 
部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 "“ 普 通 高 等 教育 精品 
教材 ”"“ 中 国 大 学 出 版 社 图 书 奖 ”" 和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 丛书 ?将 根据 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 )( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 .系统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 ,并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教材 建设 、 学 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn, 联 系 人 : 张 民 。 
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当前 信息 安全 进入 公众 的 视野 , 它 不 仅 关系 到 国防 军事 等 重大 战略 问题 
以 及 国计民生 等 新 兴 战 略 产业 的 发 展 ,而 且 与 每 个 人 日 常生 活 息息相关 。 目 
前 ,我 国信 息 安全 所 面临 的 形势 十 分 严峻 ,信息 安全 学 科 的 发 展 已 经 刻 不 容 
缓 ,国家 已 经 将 信息 安全 学 科 升 级 为 一 级 学 科 。 

信息 安全 数学 是 信息 安全 学 科 的 理论 基础 ,其 内 容 涉 及 面 较 广 ,如 数论 
与 有 限 域 等 在 信息 安全 的 重要 基础 课 ( 如 密码 学 ) 中 有 大 量 的 应 用 。 信 息 安 
全 数学 基础 是 信息 安全 专业 一 门 重要 的 基础 必修 课程 。 此 外 ,信息 安全 数学 
在 计算 机 科学 、 信 息 与 通信 工程 .网 络 工程 .电子 对 抗 等 学 科 中 也 都 有 着 重要 
的 应 用 。 

信息 安全 数学 方面 的 书籍 难以 读 懂 , 这 在 一 定 程度 上 阻碍 了 信息 安全 学 
科 以 及 信息 安全 知识 的 普及 。 目 前 的 大 多 数 教材 对 抽象 的 数学 知识 介绍 较 
多 ,虽然 在 一 定 程度 上 可 以 锻炼 学 生 的 抽象 思维 能 力 , 但 容易 使 学 生 对 所 学 
内 容 产 生 鞭 难 情绪 。 另 外 ,单纯 的 理论 知识 介绍 会 导致 学 生 不 清楚 这 些 理 论 
如 何 应 用 ,从 而 对 所 学 内 容 不 能 留 下 较 深 刻 的 印象 。 一 些 来 自 计 算 机 科学 、 
通信 工程 、 网 络 工程 等 专业 的 学 生 虽 然 对 信息 安全 方向 感 兴趣 ,但 是 因为 信 
息 安 全 数学 知识 的 抽象 和 难以 普及 ,导致 无 法 将 本 专业 与 信息 安全 方向 结合 
起 来 。 

本 书 重点 强调 信息 安全 数学 基础 在 信息 安全 中 的 应 用 ,并 通过 实践 ( 算 
法 与 编程 ) 环 节 强 化 对 理论 的 理解 。 减 少 了 一 些 在 信息 安全 中 应 用 较 少 的 非 
重点 数学 理论 ,注重 从 计算 机 科学 (算法 ) 角 度 介绍 而 不 是 从 纯 数 学 角度 介 
绍 。 强 调 抽 象 知识 的 算法 解释 和 形象 化 ,便于 读者 自学 和 易于 教学 。 

本 书 在 写作 过 程 中 特别 遵循 了 以 下 思路 。 

(1) 体例 新 颖 活泼 、 语 言 通俗 易 懂 、 精 心安 排 示例 。 注 意 到 目前 市 场 上 
“大 话 X X X”X xX X 趣 谈 ”“ 图 解 X X X” 等 图 书 深 受 读者 喜爱 ,本 书 在 保证 
论述 严谨 性 的 情况 下 ,语言 尽量 形象 生动 .文风 尽量 活泼 ,以 激发 学 习 者 的 兴 
趣 。 根 据 作者 对 “信息 安全 数学 基础 "这 一 课程 多 年 的 教学 实践 经 验 ,给 出 一 
些 较 为 独特 的 比喻 ,虽然 有 些 比 较 浅显 ,但 主要 目的 是 让 读者 特别 是 初学 者 
快速 理解 .印象 深刻 .阅读 轻松 。 

(2) 内 容 编 排 独特 、 循 序 渐进 、 由 浅 入 深 。 注 重 内 容 之 间 的 联系 和 讲解 
先后 次 序 。 内 容 选 取 尽 量 考虑 到 重要 性 和 必要 性 。 注 重 给 出 一 些 浅 显 易 懂 
的 类 比 ,便于 读者 建立 所 学 知识 与 前 后 内 容 之 间 的 联系 。 
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(3) 以 应 用 为 导向 ,理论 联系 实际 。 不 单纯 讲解 数学 基础 ,而 是 从 应 用 需要 的 角度 出 
发 ,着 重 讲解 基础 知识 点 和 关键 点 ,突出 实用 性 和 可 操作 性 。 注 重 对 算法 和 实践 能 力 的 培 
养 , 书 中 重点 介绍 计算 数论 (算法 数论 ) 中 的 算法 ,鼓励 读者 自主 实现 这 些 算法 来 提高 实践 
能 力 。 

(4) 注重 启发 性 和 对 创新 能 力 的 培养 。 通 过 在 正文 中 设立 “思考 ”环节 ,以 提高 启发 
性 并 激发 读者 思考 。 在 内 容 组 织 中 潜移默化 地 强调 数学 素养 的 培养 ,根据 数学 内 容 的 需 
要 ,采用 合 情 猜 想 、 归 纳 法 、 演 绎 法 ,公理 集合 论 方法 等 多 种 论述 方法 。 

(5) 尝试 和 实践 探索 教育 数学 与 数学 教育 。 教 育 数学 应 该 注重 还 原 数 学 定理 的 发 现 
过 程 ,探索 数学 发 现 的 规律 ,启发 读者 回味 数学 发 现 的 内 在 动因 。 数 学 教育 应 该 在 培养 抽 
象 化 推理 能 力 的 同时 ,提高 对 数学 的 直觉 .形象 化 能 力 、 想 象 力 、 触 类 旁 通 能 力 、 知 识 的 关 
联 类 比 性 以 及 对 数学 内 在 结构 性 的 总 结 。 

全 书 共 分 12 章 。 第 1 章 整 除 ;第 2 章 同 余 ;第 3 章 同 余 式 ;第 4 章 二 次 同 余 式 和 平方 
剩余 ;第 5 章 原 根 与 指数 ;第 6 章 群 ;第 7 章 环 与 域 ;第 8 章 素性 检测 ;第 9 章 椭圆 曲线 群 ; 
第 10 章 大 整数 分 解 算法 ;第 11 章 离 散 对 数 算法 ;第 12 章 其 他 高 级 应 用 。 其 中 ,第 9 一 12 
章 为 高 级 部 分 ,高 级 部 分 与 部 分 打 星 号 的 章节 可 选 学 。 全 书 授课 学 时 为 40 一 64 学 时 。 

本 书 得 到 了 湖北 省 高 等 学 校 教学 研究 项 目的 支持 (2015146) 和 本 科教 学 质量 工程 项 
目 (2016039) 的 支持 ,在 此 表示 感谢 。 感 谢 学 生肖 豁 阳 的 辅助 性 工作 。 

由 于 编者 水 平和 学 识 有 限 , 书 中 难免 存在 不 足 之 处 ,在 此 衷心 恳请 广大 读者 批评 指 
正 。 联 系 方式 是 weirencs@cug. edu. cn。 
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在 整数 集合 中 ,整除 是 一 种 重要 的 二 元 关系 ,相关 概念 和 性 质 包 括 素数 、 公 因数 、 欧 几 
里 得 (Euclid) 除 法 (也 称 加 转 相 除法 )、 算 术 基本 定理 等 。 这 些 概念 和 性 质 又 是 整数 集合 
中 另 一 种 重要 的 二 元 关系 一 一 同 余 关系 的 基础 。 本 章 先 介 绍 整除 ,第 2 章 介绍 同 余 。 

本 章 的 重点 是 Euclid 除法 和 Euclid 算法 ;难点 是 扩展 的 Euclid 算法 。 


1.1 ”整除 的 概念 


通常 ,用 乙 表 示 整 数 集合 ,整数 即 为 0, 士 1, 士 2,…。 

自然 数 集合 是 非 负 整 数 集合 ,用 N 来 表示 。 

定义 1.1( 整 除 ) ” 设 a,b 是 任意 两 个 整数 ,其 中 5b 隆 0。 如 果 存 在 一 个 整数 g, 使 得 
等 式 

a=gb 

成 立 , 则 称 5 整除 a 或 者 a 被 5 整除 , 记 作 bla。 0 叫 作 a 的 因数 ,a 叫 作 2 的 倍数 。g 写成 
a/b 或 者 全; 否则 , 称 4 不 能 整除 a ,或 a 不 能 被 整除, 记 作 4b a。 

注意 : 这 里 整除 的 定义 是 通过 乘法 运算 给 出 的 (而 不 是 通过 除法 运算 定义 的 ); 通 过 
整数 g 的 存在 性 表述 整除 性 。 另 外 ,符号 g|a 本 身 就 包含 了 0 天 0。 

例 1.1 请 写 出 20 的 所 有 因数 。 

解答 士 1, 士 2, 士 4, 士 5, 士 10, 士 20。 

根据 定义 ,有 : 

0 是 任何 非 零 整 数 的 倍数 , 即 a10, 这 里 a 去 0,a€ 72。 

1 是 任何 整数 的 因数 , 即 1le,aEZ。 

任何 非 零 整数 a 是 自己 的 倍数 ,也 是 自己 的 因数 , 即 ala, 这 里 a 取 0,a€2。 

整除 有 以 下 性 质 。 

例 1.2 设 a,6 为 整数 。 若 bla,; 则 6|( 一 a),( 一 D)la,( 一 6)1( 一 a) ,1b||lal。 

证 明 由 6bla, 于 是 存在 整数 g, 使 得 a 一 qb。 

要 证 明 所 需 结 论 , 即 需要 证 明 存 在 整数 Q, 使 得 等 式 ( 一 a) 一 Qb,a 一 Q( 一 b), (一 a) 
Q( 一 0) ,la| 二 QI5| 成 立 。 

由 条 件 a 二 qb 通过 简单 的 推理 可 以 发 现 , 当 Q 分 别 为 一 gq, 一 g,q,19| 时 ,上 述 等 式 满 
足 。 于 是 可 知 ,相应 的 整数 Q 存在 。 国 
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由 这 个 例子 可 知 ,可 将 重点 放 在 正 整数 的 整除 上 来 。 

上 述 证 明 的 思路 在 于 : 从 已 知 条 件 和 证 明 目 标 同时 人 手 ,变换 转换 ,中 间 相 遇 。 上 有 具体 
而 言 , 由 整除 的 概念 得 到 相应 等 式 , 由 相应 等 式 推出 整数 Q 的 存在 性 ,由 整数 Q 的 存在 性 
推出 整除 性 。 

由 这 一 思路 ,可 以 证 明 整 除 的 以 下 性 质 (请 读者 自行 给 出 证 明 并 给 出 实例 ) 。 

定理 1.1( 传 递 性 ) ” 设 a 取 0,6 取 0,c 是 三 个 整数 。 车 alb,blc, 则 alc。 

定理 1.2 设 a,b,c 冯 0 是 三 个 整数 。 若 cla,clb, 则 cla 土 6。 

定理 1.3 设 a,b,c 取 0 是 三 个 整数 。 若 cla,clb, 则 对 任意 整数 ;,+ 有 

clsat+tib 

提示 : Q 分 别 为 qiqz ,qi 士 qg; ,sqi 士 idqz 。 

例 1.3 设 a,b,c 取 0 是 三 个 整数 ,cla,cl0, 如 果 存 在 整数 *,z, 使 得 ye 十 万 =1, 则 一 
EE 网 

证 明 因为 cla,clb, 存 在 整数 ;,i, 使 得 sa 十 10 二 1, 于 是 由 定理 1.3, 有 clsa 十 wb 二 1， 
于 是 < 一 士 1。 国 

由 整除 和 因数 的 概念 ,可 以 根据 因数 情况 对 整数 进行 分 类 。 

定义 1.2 设 整数 了 0, 土 1, 如 果 除 了 平凡 因数 土 1, 士 n 外 ,n 没有 其 他 因数 ,那么 n 
叫 作 素数 (或 质数 .不 可 约 数 ); 否 则 nn 叫 作 合 数 。 

当 整 数 隆 0, 土 1 时 ,n 和 一 n 同 为 素数 或 合 数 。 因 此 ,车 没有 特别 声明 ,素数 总 是 指 
正 整 数 , 通 常 写成 p。 

思考 1.1 请 写 出 30 以 内 的 素数 。 

(答案 : 2,3,5,7,11,13,17,19,23,29) 

下 面 证 明 每 个 合 数 必 有 素 因数 。 

定理 1.4 设 n 是 一 个 正 合 数 ,p 是 n 的 一 个 大 于 1 的 最 小 正 因数 . 则 pp 一定 是 素数 ， 
且 p<Vn. 

证 明 反 证 法 。 若 pp 不 是 素数 , 则 存在 整数 g,1 二 gp, 使 得 glp, 由 条 件 知 pln, 于 
是 根据 定理 1.1, 有 gln, 这 与 p 是 n 的 大 于 1 的 最 小 正 因数 矛 盾 。 所 以 户 是 素数 。 

若 p 记 Vn 成 立 , 则 的 另 一 个 因数 n/p 二 n/Vn 二 Yn, 于 是 ,n/p 是 一 个 比 p 小 的 因数 ， 
这 与 p 是 n 的 大 于 1 的 最 小 正 因数 矛盾 。 证 毕 。 [J 

非 正 式 地 说 ,上 述 定理 说 明了 两 点 : 素 因数 可 以 视 为 合 数 的 “组 成 部 分 ”, 且 这 一 “组 
成 部 分 ”中 必然 有 一 个 小 于 等 于 Vn。 

定理 1.4 给 出 了 寻找 素数 的 有 效 方法 。 为 了 求 出 不 超过 给 定 正 整数 x(x 二 1) 的 所 有 
素数 ,只 要 把 从 2 到 zx 的 所 有 合 数 都 删 去 即 可 。 因 为 不 超过 z 的 合 数 n 必 有 一 个 素 因子 
P 志 Vn 三 Yz, 所 以 只 要 先 求 出 Vz 以 内 的 全 部 素数 {p; ,1 三 i 二} (其 中 ,为 Vz 以 内 的 素数 
个 数 ) ,然后 把 不 超过 工 的 p; 的 倍数 (p; 本 身 除外 ) 全 部 删 去 , 剩 下 的 就 正好 是 不 超过 x 
的 全 部 素数 。 这 种 寻找 素数 的 方法 称 为 Eratosthenes 筛 法 。 

例 1.4 求 出 不 超过 64 的 所 有 素数 。 


解答 ” 先 求 出 不 超过 V64 二 8 的 所 有 素数 ,依次 为 2,3,5,7, 然 后 从 2 一 64 的 所 有 整 


IE 第 1] 章 头 除 mm 


数 依次 删 去 除了 2,3,5,7 以 外 的 2 的 倍数 、3 的 倍数 、5 的 倍数 .7 的 倍数 , 剩 下 的 即 为 所 
求 。 具 体 过 程 如 下 所 示 : 


汉人 ,4 | 13 Ww 
1 R19 R24 R33 % 7 
2 ?9 3 31 入 25 对 39 3 37 3 35 
4 到 和 煌 上 有 疲 和 站 网 静江 
到 53 4 和 5 私 5 和 5 机 61 及 好 太 


可 见 , 没 有 删 去 的 数 是 2,3,5,7,11,13,17,19,23,29,31,37,41,43,47,53,59,61, 这 
些 即 为 不 超过 64 的 所 有 素数 。 

依据 上 述 方法 可 以 编写 一 个 算法 ,输出 不 超过 输入 值 的 所 有 素数 。 

一 个 很 自然 会 想到 的 问题 就 是 : 素数 是 否 可 以 穷 举 ? 下 面 的 证 明说 明 素数 的 数量 有 
无 穷 多 个 。 

定理 1.5 素数 有 无 穷 多 个 。 

证 明 反 证 法 。 假 设 有 有 限 个 素数 , 则 不 妨 设 它们 为 pi ,ps,，…,p,。 考 虑 大 于 1 的 
整数 


N= Dp"pst yl 
容易 看 到 ,pi ,ps，…,p, 都 不 能 整除 N ,于 是 N 没有 素 因数 ,由 定理 1.4 知 NN 不 是 合 
数 , 于 是 N 为 素数 。 这 与 有 限 个 素数 矛盾 。 图 


公元 前 3 世纪 古 希 腊 大 数学 家 欧 几 里 得 (Euclid) 在 The Elements (中文 译名 为 《几何 
原本 》)) 一 书 中 给 出 该 证 明 方法 ,成 为 一 种 经 典 的 “构造 蔬 盾 ”的 反 证 法 ?。 
可 以 看 到 ,本 节 论 述 的 过 程 遵 循 了 数学 公理 化 方法 ,该 方法 从 基本 概念 和 公理 出 发 ， 


通过 证 明 逐 步 扩充 定理 和 性 质 。 
下 面 介 绍 两 类 特殊 的 素数 。 
定理 1.6 设 "1 是 一 个 正 整数 , 若 a 一 1 是 素数 , 则 a 二 2, 且 n 是 素数 。 
证 明 若 a>2, 则 必 "一 1=(e 一 1)(o 一 十 oo 一 十 … 十 ea 十 1),1<a 一 1 二 必 一 1, 因 此 


a" 一 1 不 是 素数 。 与 已 知 矛盾 ,因此 a 二 2。 

4 一 2, 若 7 一 忆 尖 >>1,>1 则 笃 一 1 一 (2 一 1 一 (2% 一 1)(C2KD 十 24K42 十 … 十 2 十 
1),1 王 2 一 1<<2" 一 1, 因 此 2" 一 1 不 是 素数 。 与 已 知 矛 盾 , 因 此 ,"” 是 素数 。 国 

定义 1.3 设 p 是 一 个 素数 ,整数 M, 一 2? 一 1 称 为 Mersenne( 梅 森 ) 素 数 。 

目前 寻找 梅森 素数 成 为 对 计算 机 运算 性 能 的 一 种 测试 ,后 来 诞生 了 “因特网 梅森 素数 
寻找 程序 "GIMPS 项 目 。 该 项 目 是 寻找 梅森 素数 的 计算 机 搜索 方法 ,通过 分 配 搜 索 区 间 
大 规模 并 行 搜索 ,并 自动 发 送 搜索 报告 。 通 过 在 GIMPS 项 目 主页 下 载 免费 程序 ,就 可 以 
参与 该 项 目 。 


中 ”该 命题 为 (几何 原本 ) 第 9 卷 第 20 个 命题 ,编号 为 IX. 20, 原 命题 是 :预先 给 定 几 个 质数 ,那么 有 比 它们 更 多 的 
质数 。 该 证 明 被 (来 自 天 书 的 证 明 ) 一 书 收录 为 数学 史上 的 经 典 证 明 ( 类 似 的 方法 包括 Cantor 的 对 角 线 反 证 法 、 
Turing 的 停机 问题 的 不 可 判定 性 以 及 Godel 的 不 完备 性 定理 )。 欧 几 里 得 的 (几何 原本 ) 是 西方 数学 公理 化 方法 的 起 
源 和 数学 逻辑 演绎 推导 的 代表 。 以 ( 九 章 算术 ) 为 代表 的 中 国 数学 则 是 以 归纳 计算 和 构造 为 主要 方法 。 
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说 ”Euclid 算法 


前 面 讨论 的 是 整除 的 情况 ,如 果 不 能 整除 时 会 如 何 呢 ? 
定理 1.7(Euclid 除法 ,也 称 为 带 余 除 法 ) 设 ,2 是 两 个 整数 ,其 中 b>0, 则 存在 唯 
一 的 整数 g,r, 使 得 
a=gb+r 0 委 r 志 0 3 
证 明 先 证 明 存 在 性 。 考 虑 一 个 整数 序列 
…， 一 30, 一 20, 一 D,0,0，20，30 
它们 将 实数 轴 分 成 长 度 为 上 的 一 系列 区 间 ,而 a 必定 落 在 其 中 的 一 个 区 间 上 。 因 此 ， 
存在 一 个 整数 g, 使 得 
4 委 a<(q 十 1)0 
令 r 二 a 一 qb, 则 有 
4 一 9 十 r 0 委 r 二 8 
再 证 明 唯 一 性 。 如 果 分 别 有 gi ,rl 和 q ,rs 满足 式 (1.1), 则 
a=qbt+i+r 0O<n<=6b 
a= gb+i+r: 0<r<b 


两 式 相 减 ,有 
(qi — gq2)b 一 一 (rm 一 rm) 

当天 gs 时 ,左边 的 绝对 值 不 小 于 2, 而 右边 的 绝对 值 小 于 0, 这 是 不 可 能 的 。 于 是 ， 
qi 二 qz 71 二 rs。 证 毕 。 图 

定义 1.4 式 (1.1) 中 的 g 叫 作 a 被 除 所 得 的 不 完全 商 ,r 叫 作 a 被 0 除 所 得 的 
余数 。 

Euclid 除法 可 以 理解 成 用 一 个 长 度 为 上 的 “尺子 去 度量 长 度 ,度量 最 后 剩 下 的 一 
段 7 不 会 大 于 “尺子 ”的 长 度 6b。 

Euclid 除法 的 用 途 是 ,可 以 将 两 个 数 之 间 整 除 关 系 的 判定 问题 转化 为 计算 问题 。 判 
断 a 是 否 能 被 非 零 整数 b 整除 的 充 要 条 件 是 a 被 5b 除 所 得 的 余数 一 0。 

通常 ,0 三 rb, 这 时 7 叫 作 最 小 非 负 余数 ;但 在 有 些 时 候 通 过 “平移 ”( 即 调整 不 完全 
商 的 大 小 ), 可 以 将 7r 调整 为 |r| 三 5/2, 这 时 7 叫 作 绝对 值 最 小 余数 , 它 在 后 面 介 绍 的 
Euclid 算法 中 ( 见 例 1. 8) 能 起 到 算法 加 速 的 作用 。 

思考 1.2 令 0=7, 则 最 小 非 负 余数 为 多 少 ? 绝对 值 最 小 余数 为 多 少 ? 

解答 一 0,1,2,3,4,5,6 为 最 小 非 负 余数 。 

7r 一 一 3, 一 2, 一 1,0,1,2,3 为 绝对 值 最 小 余数 。 

定义 1.5( 公 因子 ) 设 a…,a, 是 n(n 三 2) 个 整数 。 若 整数 4 是 它们 中 每 一 个 数 的 
因数 ,那么 & 就 叫 作 a1,… ,a 的 一 个 公约 数 ( 也 叫 公 因数 ) 。 

d 是 a1,…,a, 的 一 个 公 因 数 的 数学 表达 式 为 

dlai,…,d |a, 
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如 果 整 数 wm ,… ,a, 不 全 为 零 , 那 么 a1,…,a, 的 所 有 公约 数 中 最 大 的 一 个 公约 数 叫 
作 最 大 公约 数 (greatest common divisor) , 记 作 gcd(al ,… ,as) 或 (al ,… ,a,)。 

特别 地 , 当 (a ,…,a,) 一 1, 称 (oa ,…,a,) 互 素 或 互 质 。 

下 面 给 出 最 大 公约 数 的 等 价 定义 。 

d>0 是 al,… ,a 的 最 大 公约 数 的 数学 表达 式 可 以 表述 如 下 : 

(1) dla dla。 

(2) 若 ela ,ela, 则 eld。 

说 明 : 条 件 (1) 表 示 d 是 公约 数 ; 条 件 (2) 表 示 d 在 公约 数 中 最 大 。 

下 面 的 定理 给 出 了 最 大 公约 数 的 另 一 个 等 价 定义 。 

定理 1.8 a,b 是 不 全 为 零 的 整数 ,a.b 的 最 大 公约 数 4d 一 (a,0) 是 集合 

{satitb | stE 2 

中 的 最 小 正 整数 。 

证 明 令 集 合 {sa 十 wb1s,tEZ}) 中 最 小 的 正 整 数 为 m。 下 面 证 明 六 一 d ,方法 是 先 证 
明 dlm, 再 证 明 mld。 

一 方面 ,因为 4 二 (a,b), 于 是 dla.d1b, 由 定理 1.3 可 知 ,d|sa 十 0,s,tEZ, 于 是 d|m。 

另 一 方面 ,由 带 余 除 法 知 ,存在 整数 gq ,qs ,ri ,rs ,使 得 

a=qm++rnb = gmtr: Orir <m 

易 知 ,ri,rs €E {sa 十 tb1s,t1 EZ}, 由 于 m 是 该 集合 中 的 最 小 正 整 数 , 故 二 ro 二 0, 即 
mlas,mlb, 由 最 大 公约 数 的 定义 可 知 m|d。 

综合 dim,m|d, 且 均 为 正 整 数 , 有 mm 一 d。 证 毕 。 图 

定理 1. 8 从 线性 组 合 的 角度 来 考察 最 大 公 因 子 。 ,| 
如 果 从 几何 的 角度 来 观察 ,这 可 以 视 为 y 二 zx 斜 线 与 6p 
格子 割 线 中 那个 最 短 的 线段 。 例 如 ,图 1. 1 中 和 斜 线 下 ， 一 5p-24 
方 a 上 方 第 一 个 线段 对 应 的 值 为 a 一 26, 斜 线 下 方 2a 3p 
上 方 线段 对 应 的 值 为 24 一 45。 因此 ,(a.5) 也 可 以 视 如 
为 利用 长 度 为 a 和 2 的 两 把 “尺子” 可 以 “丈量 ”的 最 6 a 
小 长 度 (精度 )。 

推论 1.1 a,6 是 不 全 为 零 的 整数 ,a.6 的 最 大 。。 四 1 “ 必 的 线性 组 合 
公约 数 d 二 (a,6b) ,集合 


3b-a 2a-3b y=x 


{satib | st € 2Z} 

由 a 的 所 有 倍数 组 成 。 

这 再 一 次 说 明了 d 是 长 度 为 a 和 2 的 “尺子 "组合 起 来 可 以 “丈量 ”的 “最 小 长 度 单 
位 *”。 有 了 这 个 “单位 长 度 ”, 则 可 以 “反复 ”丈量 出 其 他 长 度 。 

定理 1.9 设 a,6b 为 不 全 为 零 的 整数 , 则 方程 ax 十 by 二 c 有 整数 解 , 当 且 仅 当 cE {az 十 
by|z,yEZ}, 即 当 且 仅 当 (a,o)|c。 

该 定理 可 用 于 判定 二 元 一 次 不 定 方程 ax 十 by 一 c(a,b,cEZ) 的 整数 解 是 否 存 在 。 

特别 地 ,车 (a,65) 二 1, 则 存在 整数 z,y. 使 得 axr 十 by 二 1。 

这 一 特例 也 说 明 只 有 当 a 和 2 互 素 时 ,az 一 1(mod 5) 才 有 解 。 
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定理 1.10 设 wa ,…'a, 是 n 个 不 全 为 零 的 整数 , 则 

(1) aa ,…,as 与 141|,…,|a,| 的 公 因 数 相 同 。 

(2) ai, san) = a| ,1a,|)。 

这 个 定理 将 公 因数 的 讨论 转化 为 在 非 负数 范围 内 讨论 。 

定理 1.11 设 0 是 任 一 正 整数 . 则 (0,0) 一 0。 

平凡 地 求 两 个 整数 最 大 公 因 子 的 方法 是 ,分 别 求 出 两 个 数 的 因子 ,然后 挑 出 它们 中 最 
大 的 公 因子 。 这 种 方法 在 两 个 数 比较 小 的 情况 下 是 可 行 的 ,但 是 当 两 个 数 比较 大 时 ,分 解 
其 因子 是 十 分 困难 的 。 而 且 这 个 方法 的 效率 不 高 , 求 两 个 整数 的 最 大 公 因子 需要 寻找 更 
好 的 办 法 。 

定理 1.12 设 a,b,r 是 三 个 不 全 为 零 的 整数 。 如 果 

a= gb+ir 

其 中 g 是 整数 , 则 (a,6) 二 (5,7)。 

证 明 令 d=(a,b),d' 二 (5,r),dla,d|6b, 由 定理 1.3, 得 

da 十 (一 9)2 王 > 

于 是 d 是 0,r 的 公 因数 ,从 而 4 入 < '。 

同 理 ,d' 是 a,b 的 公 因数 ,从 而 d' 二 qd。 

因此 ,d=d'。 图 

例 1.5 因为 1873 一 5。286 十 143 ,所 以 (1573 ,286) 一 (286,143) 一 143 

以 上 定理 的 用 处 是 : 可 以 将 求 两 个 较 大 数 的 公 因数 转化 为 求 两 个 较 小 数 的 公 因 数 。 
利用 这 一 思想 ,可 以 得 到 计算 求 最 大 公 因 数 的 方法 。 这 一 算法 称 为 “ 欧 几 里 得 除法 ”, 也 称 
为 “加 转 相 除 法 ”。 它 可 能 是 世界 上 最 著名 的 也 是 最 早 的 算法 。 

从 算法 递归 调用 的 角度 描述 定理 1. 13 ,就 是 gcd(a,b) 二 gcd(b,a mod b)。 


算法 1.1 Euclid 算法 递归 形式 : 计算 两 个 整数 的 最 大 公 因 子 。 
输入 : 两 个 非 负 整数 ,0, 且 a 三 b( 先 将 待 计算 的 整数 取 绝对 值 )。 
输出 : a,b 的 最 大 公 因 子 。 


GcD(a,b) { 
If p<>0 

Return GCD (ba mod b); 
Else 

Return a; 


} 


递归 形式 便于 理解 ,但 不 便于 了 解 算法 的 实际 过 程 。 下 面 给 出 非 递 归 形 式 的 Euclid 
算法 。 在 给 出 非 递 归 形 式 之 前 , 先 看 一 个 例子 。 
例 1.6 计算 gcd(4864,3458) 王 38 的 分 解 步骤 。 
解答 
4864 一 1。3458 十 1406 
3458 一 2。1406 十 646 
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1406 一 2。646 十 114 
646 一 5。114 十 76 
114 王 1。76 十 38 
76 三 2 。38 十 0 
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算法 1.2 Euclid 算法: 计算 两 个 整数 的 最 大 公 因 子 。 

输入 : 两 个 非 负 整数 a,b, 且 a 宇 b( 先 将 待 计算 的 整数 取 绝 对 值 )。 
输出 : a,b 的 最 大 公 因 子 。 

GcD(a,b) { 

While (b 天 0) do { 


ramodb; 
a< b7 


Return a; 


思考 1.3 算法 1.2 有 可 能 是 死 循 环 吗 ? 


算法 1. 2 中 的 循环 会 结束 (不 会 是 死 循 环 ) ,因为 逐步 在 减 小 ,最 终 变 为 0( 从 而 退 


出 循环 ) 。 


例 1.7 用 算法 1.2 计算 gcd(169,121) 二 1 的 分 解 步骤 。 
解答 

169 一 1。121 十 48 

121 一 2。48 十 25 

48 一 1。25 十 23 

25 一 1。23 十 2 

23 二 11 * 2 十 1 

2 一 2。 1 十 0 


如 果 利 用 绝对 值 最 小 余数 代替 最 小 非 负 余数 ,可 以 对 算法 1. 2 进行 优化 。 请 看 下 面 


的 例子 。 


例 1.8 设 a 一 46480,0 一 39423 ,计算 (a,0) 。 
解答 ”利用 Euclid 除法 。 
方法 1: 使 用 最 小 非 负 余数 。 
46480 一 1。39423 十 7057 
39423 一 5。7057 十 4138 
7057 一 1。4138 十 2919 
4138 一 1。2919 十 1219 
2919 一 2。1219 十 481 
1219 一 2。481 十 257 
481 一 1。257 十 224 
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257 王 1。224 十 33 
224 王 6。33 十 26 
33 一 1"26 十 7 

26 王 3。7 十 5 
7 三 1* 5 十 2 
5 一 2。2 十 1 
2 一 2。1 十 0 


方法 2: 使 用 绝对 值 最 小 余数 。 

46480 一 1。39423 十 7057 

39423 一 6。7057 一 2919 
7057 一 2。2919 十 1219 
2919 一 2。1219 十 481 
1219 一 3。481 一 224 
481 一 2。224 十 33 
224 一 7。33 一 7 


所 以 (46480,39423) 一 1。 
可 以 看 到 ,方法 2 要 比方 法 1 运算 次 数 少 ,所 以 绝对 值 最 小 余数 方法 可 以 加 快 计 算 ， 
减少 计算 时 间 。 


13 ”扩展 的 Euclid 算法 


下 面 的 推导 给 出 了 Euclid 算法 的 一 个 严格 证 明 。 
设 a,b 是 任意 两 个 正 整数 。 记 rr-s 二 a,r-1 一 b, 反 复 运 用 带 余 除 法 ,有 


r-z =qor-i 二 ro 0<n<r 
ri =qiro tn 0<n<n 
ro =qznitrs 0<r<n 
S (1.2) 
tas 一 和 -172-2 rel Or < ras 
Tn-2 arn TI | 
Ta 一 go+lmm tT rnt mtl 一 0 


可 以 看 到 , 随 着 ”的 增加 ,mm 减 小 .由 于 mm 二 0, 因此 ,ms+ 一 0。 
上 述 过 程 即 从 数列 一 : :一 : mm,…:m 前 两 项 依次 求 出 第 三 项 ,直到 最 后 一 项 的 过 
程 。 有 
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(a,.b) 人 (r_isro) we (rr (ra rratl ) (Cr 0) i 
如 果 将 这 一 过 程 反 方向 写 出 ,有 
Te 一 Ta-2 darn-l 
Tal Tn-3 一 gm 一 7 一 2 
rs = ro 一 gz7 
7 一 产 ! 一 gairo 
ro = rs — gor-1 


即 坟 ,7r,-1,… ,ri,ro 中 每 一 项 均 可 以 用 后 两 项 表示 。 于 是 可 以 用 1-s,r-1 表 示 , 即 可 以 
找到 整数 ,1, 使 得 
sat+ib=r,= (a,b) 
例 1.9 a 王 169,0 一 121. 求 整数 yz, 使 得 sa 十 16 二 (a,6b)。 
解答 
首先 回顾 例 1.7 的 过 程 : 
169 一 1。121 十 48 
121 一 2。48 十 25 
48 一 1。25 十 23 
25 王 1。23 十 2 
23 王 11。2 十 1 
2 一 2。1 十 0 


将 例 1.7 的 过 程 反 过 来 写 , 有 
1 一 23 一 11。2 
一 23 一 11。(25 一 1。23) 
一 一 11。25 十 12。23 
一 一 11。25 十 12。(48 一 1。25) 
一 12。48 一 23。 25 
一 12。48 一 23。 (121 一 2。48) 
一 一 23。121 十 58。48 
一 一 23。121 十 58。(169 一 1。121) 
一 58。169 一 81。121 
因此 ,整数 :一 58,: 一 一 81 ,满足 sa 十 ib 二 (a,6)。 
下 面 推导 一 个 算法 ,用 于 在 给 定 和 4 情况 下 计算 s 和 ?使 得 va 十 龙王 Ca,0)。 该 算 
法 具有 重要 的 应 用 ,如 当 a,b 互 素 时 ,可 求 出 s 来 ,满足 sa 十 ww 二 1, 即 sa 一 1(mod6b)。 第 6 
章 将 介绍 ,s 在 Zr 的 乘法 群 中 称 为 a 的 乘法 逆 元 。 这 一 算法 通常 称 为 “扩展 的 欧 几 里 得 ” 
(Extended Euclid) 算 法 。 
在 给 出 具体 算法 之 前 ,首先 观察 和 分 析 计 算 中 可 能 存在 的 递 推 关 系 。 从 例 1. 9 中 可 
以 观察 到 ,4 个 数列 s,t,r,g 在 反复 计算 ,其 中 g 由 > 的 数列 计算 得 到 ,以 g 为“ 纽带”, 尝 
试 计算 ; 和 : 的 数列 。 通 过 尝试 和 整理 ,得 到 如 下 定理 : 
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定理 1.13 设 a.b 是 任意 两 个 正 整 数 , 则 


snQ 十 10 = (a,b) 《Ey 
对 于 jj 二 0,1,…,n 一 1, 这 里 5; ,归纳 地 定义 为 
sz = 1],s = 0,5; = $j-2 — qjsj-1 
ts 一 0,t1 lt =O—gt j=0,1,2, ,nO—1,n Cl a 


其 中 gj 二 [rj-s/rj-1] 是 式 (1.4) 中 的 不 完全 商 。 设 z-ER,[z] 表 示 不 超过 z 的 最 大 整数 ， 
称 为 实数 zx 的 整数 部 分 。 
证 明 只 需 证 明 : 对 于 j= 一 2, 一 1,0,1,*…,n 一 1 
sia tib 三方 (1.5) 
其 中 方 一 六 :一 gr 广 :是 式 (1.5) 中 的 余数 。 因 为 Ca, 一 六 ,所 以 
satib = (a,b) 
对 7 用 数学 归纳 法 来 证 明 式 (1.5)。 当 j 二 一 2 时 ,有 s-: 二 1,t-s 一 0 以 及 
sz 十 t-2b 二 a=r-s 
式 (1.5) 对 于 j= 一 2 成 立 。 
j= 二 一 1 时 ,有 s-1 二 0,t_1 二 1 以 及 


sia 十 tib = 二 b=r 


式 (1.5) 对 于 j 二 一 1 成 立 。 
假设 式 (1.5) 对 于 一 2 过 三 k 一 1 成 立 , 即 
sia titb =r; 
对 于 7 一 A, 有 
re 二 人 -2 der el 
利用 归纳 假设 ,得 到 


r= (st-2Q 十 如 -20) — qr (stia tt ti-10) 


= ($471 — qrst-1)a 十 (tas 一 Gatk-l1)0 
= ska 十 10 
因此 , 式 (1.5) 对 于 7 一 4 成 立 。 
根据 数学 归纳 法 , 式 (1.5) 对 所 有 的 j 王 一 2, 一 1,0,1,…,n 一 1 成 立 。 国 
有 了 关于 ; 的 递 推 关系 5 一 ;一 gs; 以 及 关于 1 的 递 推 关系 4 一/ 一 qty-1, 便 可 
以 求 出 最 终 需 要 的 * 和 7, 即 s, 和 1，。 
下 面 根据 本 节 上 面 的 证 明 设计 一 个 算法 : 假设 a 和 2 是 不 全 为 零 的 非 负 整数 ,计算 
s 浅 使 得 sa 十 16 二 (a,b)。 
首先 , 令 
rs:=a 7 一/ 
5s-2 一 1] sl 一 0 
ts=0 1 一 1 
这 是 因为 关 =s%a 十 1, 所 以 天: 一 s-sa 十 上 -0 一 1。a 十 0。0,r-1 一 5S-1a 十 1-10 一 0。 
Q 十 1。0。 
(1) 如 果 一 :一 0, 则 令 


S 一 S-2 上 一 万 2 


否则 ,计算 

qo 一 [rz/ra] ro = rs— gor 
(2) 如 果 二 0, 则 令 

Ss= sa 过 一 大 1 

否则 ,计算 

5 = ss— qs to = ts— got 
以 及 

qa=[r/n] r=r—gr 


(3) 如 果 二 0, 则 令 
否则 ,计算 


以 及 


g@ = [n/n] r= ro gn 


0 十 1) 如 果 -1 二 00j 宇 3) , 则 令 
s= 5s- t=t- 
否则 ,计算 
Sl 一 5-3 一 0i-15-2 tl = 三 -3 giti-? 
以 及 
g; = [m-s/np-] r= rj — gr 
最 后 ,一 定 有 ti 一 0。 这 时 , 令 
5 一 5 t= 
总 之 ,可 以 找到 整数 ;,t, 使 得 
satitb=r, = (a,b) 
将 上 述 推 导 过 程 写成 以 下 算法 。 


整除 mmm 


算法 1.3 Extended Euclid 算法 。 
输入 : 两 个 非 负 整数 ec,0, 且 a 三 b。 
输出 : gcd(a.6) ,以 及 满足 se 十 2 一 gcd(a :0) 的 整数 st。 


ExtendedEuclid(a,b)1{ 

(R,S,T)<— (a,1,0); 

(R',S',T')< (b,0,1); 

While (R' 天 0) do { 
q [RM/R']; 
(Templ, Temp2, Temp3)< (R-qR',S-qS',T-qT'); 
(R,S,T) (R',S',T'); 
(R',S',T')< (Templ, Temp2, Temp3); 

} 

Return R,S,T; 

和 
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涡 


算法 中 的 变量 与 推导 中 的 对 应 关系 写成 表格 ,如 表 1. 1 所 示 。 


表 1.1 变量 与 推导 的 对 应 关系 
gq R R’ S 昌 时 和 


g ri Tit!l Sj-1 5 右 -1 t 


例 1.10 写 出 Extended Euclid 算法 的 计算 过 程 , 设 4 二 1859,65 二 1573, 计 算 整 数 ;， 
,使 得 sa 十 ib 二 (a,0b)。 
解答 : 将 算法 写成 表 1.2, 第 一 列 为 循环 条 件 判断 ,第 二 列 为 不 完全 商 g 数列 ,其 余 三 
列 为 r,s,t 递 推 数列 。 
表 1.2 例 1.9 算法 表示 


R'#0? 9 R R' s Ss 区 F 

ql859 bb-1573 | 1 L001 
ve | 1 | i577 m6 | o7 1 | ii 
Yes ss | 1 6 
Yes 2 143 (O) = 11 [O64| -13 
No | 


返回 什 

因此 ,* 王 一 5 上 一 6, 使 得 

(一 5)。1859 十 6。1573 一 143 

思考 1.4 算法 1.2 和 算法 1.3 的 区 别 。 

算法 1. 3 中 引入 两 个 关于 s 和 1 的 递 推 关 系 。 在 计算 ~ 的 递 推 关系 求 出 (a,5) 的 同 
时 ,也 计算 了 所 需要 的 ;和 7, 因此 称 其 为 “扩展 的 ”Euclid 算法 。 

需要 强调 的 是 ,在 实际 中 扩展 的 Euclid 算法 主要 用 于 求 乘法 逆 元 。 例 如 ,假设 4 二 
, 当 (m,0) 二 1 时 ,sm 十 性 二 (m,6) 二 1, 因 此 ,tb 二 1 (mod m)。 于 是 找到 了 1, 这 是 65 在 
Z 的 乘法 群 中 的 乘法 逆 元 (第 6 章 将 介绍 群 的 概念 ) 。 为 了 使 表达 规整 ,算法 1. 4 中 重新 
使 用 了 不 同 的 变量 名 和 编排 。 


算法 1.4 Extended Euclid 算法 求 逆 元 。 
输入 : 两 个 非 负 整数 ,6b, 目 mm 二 0。 
输出 :5 在 Z; 中 的 乘法 逆 元 。 


ExtendedEuclid(m,b) { 

(ai vazvas)< (1,0.m); (Bi,B2,B3) (0,1,b); 

If B3=0 Return "No Inverse'; 

If Bs3=1 Return B2 

Q [aa/B:] 

(Templ, Temp2, Temp3) < (Ai- QBi,A: -QB;,As—-QB:) 
(ai vazvRs)< (Bi BzvBs) 

(Bi Ba ,Bas)< (Templ, Temp2, Temp3) 

Goto 2 


一 ownaoouowwn 
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14 ”算术 基本 定理 


在 给 出 算术 基本 定理 之 前 ,首先 简单 介绍 一 下 最 大 公约 数 和 最 小 公 倍数 的 性 质 。 
定理 1.14 设 ,是 任意 两 个 不 全 为 零 的 整数 : 
(1) 车 mm 是 任 一 正 整 数 , 则 (am,bm) 二 (a,b)m。 
(2) 若非 零 整数 4 满足 41a,d15, 则 (a/d,b/d) 二 (a,b)/d。 特 别 地 ,有 
(a/(ab),b/(a.b))=1 
定理 1.15 设 al,…,a, 是 ?2 个 整数 , 且 ww 天 0。 令 
(ailyaz) 一 do,(dz,as) 一 da (drian) = dd 
则 (aa ,*… ,a,)=d,。 
该 定理 说 明 计 算 多 个 整数 的 公约 数 可 以 通过 逐个 计算 得 到 。 
定理 1.16 设 a.b,c 是 三 个 整数 ,5 去 0,c 取 0, 如 果 (a,c) 二 1, 则 
(ab,c) = (b,c) 
定理 1.17 设 p 是 素数 , 若 plab, 则 pla 或 p16。 
定理 1.18 设 al,…,a, 是 nn 个 整数 。 如 果 (a;,c) 二 1,1 二 i<n, 则 
(ai…asyc) 一 1】 
定义 1.6( 最 小 公 倍 数 ,least common multiplication) 设 ao,…',a, 是 7 个 整数 。 若 
mm 是 这 个 数 的 倍数 , 则 m 叫 作 这 个 数 的 公 倍数 。a ,… ,a, 的 所 有 公 倍 数 中 的 最 小 正 
整数 叫 作 最 小 公 倍数 , 记 作 [ai ,… ,a, ]。 
mm 三 [a1，… sa] 的 数学 描述 如 下 。 
(1) a lm a, |mo 
(2) 车 lm asm , 则 lm 。 
定理 1.19 设 a,b 是 两 个 互 素 的 正 整 数 , 则 
(1) 车 alm.blm, 则 ablm。 
(2) [a,b]=ab。 
定理 1.20 设 a,b 是 两 个 正 整 数 , 则 
(1) 车 alm.blm; 则 [a,6]|m。 
(2) [a,b]=ab/(a.b). 
定理 1.21 设 al,…,a, 是 nn 个 整数 , 且 al 关 0。 令 
[aisaz] = mz ,Lrmz yas] = ms 9° ,Lm yan] = ms 
则 [aa ,… ao] 一 mon 
定理 1. 22( 算 术 基 本 定理 ) ” 任 一 整数 n>1 都 可 以 表示 成 素数 的 乘积 , 且 在 不 考虑 
乘积 顺序 的 情况 下 .该 表达 式 是 唯一 的 , 即 
n=pip, fips 
其 中 p; 是 素数 , 且 若 
n=gg, gg 
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其 中 9 是 素数 , 则 
s=t pi=g l<i<s 
算术 基本 定理 的 “基本 ”在 于 将 任意 整数 用 素 因子 乘积 进行 了 表示 ,从 而 将 任意 整数 
的 性 质 的 研究 转化 为 对 其 素 因子 的 性 质 进行 研究 。 这 为 研究 整数 的 性 质 提供 了 一 个 具有 
效率 的 做 法 。 
定理 1.23 任 一 整数 "1 可 以 唯一 地 表示 成 
n=pip” a>0 i=1,,s 
其 中 pi 一 pj; (i 一 站 是 素数 。 该 式 叫 作 整 数 的 标准 分 解 式 。 
有 了 算术 基本 定理 ,整除 .最 大 公约 数 、 最 小 公 倍数 的 求解 变 得 直观 了 。 
定理 1.24 设 久 是 一 个 大 于 1 的 整数 , 且 有 标准 分 解 式 
n=piep a>0 i=1,,s 
则 a 是 n 的 正 因数 当 且 仅 当 d 有 因数 分 解 式 
d= Pia pss a 宕 B0 i=1,,s 
定理 1.25 设 a,b 是 两 个 正 整 数 , 且 都 有 因数 分 解 式 
a=pips, a>0 i=1,%,s 
b=paph, B20 i=1,%,s 
则 a,6 的 最 大 公 因 数 和 最 小 公 倍数 分 别 有 因数 分 解 式 
(ab) = Pi™ ho pm eh) 
[a,6] = PI™ Gel 有 ps mx Cosoh) 
推论 1.2 设 4.6 是 两 个 正 整数 , 则 
[a,b](a,b) 一 ab 
因为 对 任意 整数 a,B, 有 
min(a,B) + max(a.B) 一 十 有 
例 1.11 求解 (45,100) 和 [45,100]。 
解答 易 知 
45 一 2"X3:X51 
100=2:X3 XxX5 
由 定理 1. 25 可 知 
(45,100) 一 20X3"X5 一 5 
[45,100] = 2: Xx3:x5: = 900 


[1j 证明: 车 2ln,5|n,7|n, 那 么 701n。 

[2] 设 n€EZ, 证 明 . 6| (mw 一 n)。 

[3] 对 每 一 个 奇数 ,证 明 : 8| (x 一 1)。 

[4] 利用 类 似 于 定理 1. 4( 反 证 法 ) 和 定理 1. 5( 构 造 法 ) 的 方法 证 明 : V2 为 无 理 数 。 
[5] 证 明 : 
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(1) 形 如 4 一 1 的 素数 有 无 穷 多 个 。 

(2) 形 如 6k 一 1 的 素数 有 无 穷 多 个 。 

(3) 证 明 形 如 3k 一 1,4k 一 1,6k 一 1 形式 的 正 整数 有 同样 形式 的 素 因子 。 
[6] 手动 方式 求 最 大 公 因数 (55,85),(202,282)。 编 写 程序 : 用 Euclid 除法 算法 计 
算 (a,5) ,并 进行 验证 。 
[7] 手动 方式 求 ;,t, 使 得 sa 十 tb 二 (a,b) ,其 中 (a,6) 为 (202,282),(1613,3589) ,编写 
程序 : 用 扩展 的 Euclid 算法 求 sa 十 ib 二 (a,6b) ,并 进行 算法 验证 。 
[8] 编写 程序 : 利用 Eratosthenes 得 法 产生 10000 以 内 素数 。 
[9] 形 为 M,= 二 2* 一 1 的 素数 叫 作 Mersenne 素数 (梅森 素数 ) ,这 里 p 为 素数 。 给 出 
计算 机 程序 求 前 5 个 梅森 素数 。 
[10] 形 为 F, 二 2” 十 1 的 素数 为 Fermat 素数 ( 费 马 素数 ) ,给 出 一 个 计算 机 程序 证 明 
FF ,FF ,FF 都 是 素数 。 

提示 : 可 下 载 纽约 大 学 的 NTL 算法 库 , 关 注 GIMPS 网 址 ,http://www. mersenne. 
org/download/freeware. php ,截至 2014 年 2 月 ,已 知 的 梅森 素数 共有 48 个 。 从 1997 年 
至 今 , 所 有 新 的 梅森 素数 都 是 由 互联 网 梅森 素数 大 搜索 (GIMPS) 分 布 式 计算 项 目 发 现 
的 。http://zh. wikipedia. org/wiki/ 梅 森 素 数 。 

[11] 编写 程序 对 挛 生 素数 的 猜想 在 10 000 以 内 进行 实验 验证 。 

[12] 编写 程序 对 哥 德 巴赫 猜想 在 10 000 以 内 进行 实验 验证 。 

[13] 编写 程序 对 3z 十 1 猜想 在 10 000 以 内 进行 实验 验证 。 

[14] 参考 数学 实验 方面 的 书籍 和 期 刊 ( 如 Exzperimental Mathematics, http:// 
www. tandfonline. com/1loi/uexm20) ,思考 如 何 通过 数学 实验 提出 自己 的 猜想 ,或 者 验证 
或 发 现 猜想 中 的 特殊 定量 关系 。 
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本 章 介绍 整数 的 另 一 个 重要 的 二 元 关系 一 一 同 余 。 
本 章 重 点 是 同 余 类 、 简 化 剩余 系 . 欧 拉 函 数 ,难点 是 同 余 的 应 用 。 


2 1 同 余 和 剩余 类 


同 余 的 概念 是 通过 整除 关系 给 出 的 。 
定义 2.1 给 定 一 个 正 整 数 水, 如 果 两 个 整数 a,b5 有 mla 一 5, 则 a,6b 模 m 同 余 , 记 作 
4 三 b(mod m) ;否则 ,a,b 模 m 不 同 余 , 记 作 天 0(Cmod m)。 
下 面 的 定理 给 出 了 同 余 关 系 的 等 价 表达 形式 ,即将 同 余 关 系 表 达成 一 个 等 式 。 
定理 2.1 设 m 是 一 个 正 整 数 ,a,b 是 两 个 整数 , 则 
a 三 b (mod m) 
的 充 要 条 件 是 存在 一 个 整数 人 ,使 得 一 2 十 Am 。 
下 面 的 定理 说 明 同 余 是 等 价 关系 。 
定理 2.2 设 m 是 一 个 正 整数 , 则 模 m 同 余 是 等 价 关 系 , 即 
(1) 自 反 性 ,对 任 一 整数 a,a 三 a (mod m)。 
(2) 对 称 性 , 若 a 三 b (mod m), 则 b 寺 a (mod m)。 
(3) 传递 性 , 若 a 三 b (mod m) ,b 三 c (mod m), 则 a 三 c (mod m)。 
定理 2.3 设 m 是 给 定 的 一 个 正 整数 ,al ,a;,b ,bs 是 4 个 整数 ,如 果 
aa 三 bi(mod m) 
az = b,(mod m) 
则 有 
Qi 十 as 三 bi 十 b,(mod m) 
aaz = bib, (mod m) 
该 定理 说 明 同 余 关 系 对 于 加 法 和 乘法 是 “保持 ”的 。 
思考 2.1 同 余 关系 对 于 减法 和 除法 还 “保持 ? 吗 ? 
定理 2.4 设 m 是 一 个 正 整 数 ,ad 三 bd (mod m) ,如 果 (d,m) 一 1, 则 
a 三 b (mod m) 


该 定理 说 明了 同 余 关系 的 “消去 ”原则 是 消去 值 与 模 互 素 。 
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定理 2.5 设 交 是 一 个 正 整数 ,a=0 (mod m) ,如 果 整 数 d|(a,5,m), 则 


Cd 
= 也 (mod 人 


定理 2.6 设 m 是 一 个 正 整 数 ,a 三 b (mod m) ,如 果 整 数 4d|m, 则 
a 三 b (mod d) 

上 述 定理 的 证 明 比 较 简 单 , 留 作 练 习 。 

例 2.1 时 钟 指向 4 点 ,过 了 2015 小 时 后 ,时 钟 指向 几 点 ? 

解答 ”2015 寺 一 1 (mod 12) ,因此 ,时 钟 指 向 3 点。 

例 2.2 已 知 2015 年 5 月 4 日 是 星期 一 , 问 从 该 天 算 起 ,第 2 天 是 星期 几 ? 

解答 ”2 二 8,8 三 1 (mod 7) ,因此 ,第 8 天 相当 于 第 1 天 。 

2015 王 3X671 十 2,225 一 (23)64 X22=4 (mod 7), 即 第 225 天 就 相当 于 第 4 天 ,为 星 
期 五 。 

因为 整数 同 余 关 系 是 一 种 等 价 关 系 , 因 此 全 体 整 数 可 以 按照 模 m 是 否 同 余 划分 成 若 
干 两 两 不 相交 的 集合 ,使 得 每 一 个 集合 中 的 任意 两 个 整数 模 mm 一定 同 余 , 而 属于 不 同 集 
合 的 任意 两 个 整数 模 m 不 同 余 。 

设 mm 是 一 个 正 整 数 ,对 任意 正 整数 4, 令 

C={c|cE€EZ,c=a (modm)} 

C。 是 非 空 集合 ,因为 a€ C,。 

定义 2.2 C, 叫 作 模 m 的 a 的 剩余 类 。 一 个 剩余 类 中 的 任 一 数 叫 作 该 类 的 剩余 或 
代表 元 。 若 7o ,i ,… ,rm-1 是 m 个 整数 , 且 其 中 任何 两 个 数 都 不 在 同一 个 剩余 类 里 , 则 xo， 
rm-1 叫 作 模 m 的 一 个 完全 剩余 系 。 完 全 剩余 系 0,1.2,…,m 一 1 称 为 最 小 非 负 完 
全 剩余 系 。 

模 m 的 剩余 类 通常 写成 

CoCo = {GCG |0RaRn=l)} 
特别 地 , 当 7 一 力 为 素数 时 ,也 写成 
机 三 21/22 三 (CoCoesC) 三 (人 10 和 过 za 过 一 全 
C; 也 可 以 记 为 [可 。。 
例 2.3 取 识 =7, 则 模 m 的 剩余 类 为 : 
Co = [0], = {(… ,一 14, 一 7,0,7,14，…} 


Ci = [1], = {(…， 一 13, 一 6,1,8,15,…} 
Cs 一 [2], 一 {…， 一 12, 一 5,2,9,16,…》} 
C; 一 [3], = {,—11,—4,3,10,17,.…)} 
G = 4 = {3 10;—3451l T8000) 
G= [5 = (3 11 
Cs = [6]; = {°…,—8,—1,6,13,20,.} 


一 14, 一 6,2,10,18,19,20 是 模 7 的 一 组 完全 剩余 系 。0,1,2,3,4,5,6 为 模 7 的 最 小 
非 负 完全 剩余 系 。 
通常 情况 下 ,可 用 Zz 表示 m 的 最 小 非 负 完全 剩余 系 集合 , 即 ,二 和 0,1,2,…,m 一 1}。 
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Z 中 的 加 法 和 乘法 都 是 模 m 意义 上 的 加 法 和 乘法 运算 。 

根据 “ 抽 层 原则 ”, 可 以 得 到 以 下 完全 剩余 系 的 判定 方法 。 

定理 2.7 设 m 是 正 整 数 , 则 nm 个 整数 a1,as,… ,a 为 模 m 的 一 个 完全 剩余 系 的 充 
要 条 件 是 它们 模 m 两 两 不 同 余 。 

下 面 给 出 一 个 完全 剩余 系 的 构造 方法 。 

定理 2.8 设 mm 是 正 整数 ,整数 a 满足 (a,m) 二 1,6b 是 任意 整数 。 若 xz 遍历 模 m 的 
一 个 完全 剩余 系 , 则 az 十 也 遍历 模 m 的 一 个 完全 剩余 系 。 

证 明 设 a,as，…,an 为 模 m 的 完全 剩余 系 , 由 完全 剩余 系 的 定义 ,这 组 整数 模 疡 
两 两 不 同 余 。 需 要 证 明 的 是 ,aa 十 b,aas 十 5,…,aa 十 b 也 是 模 m 的 一 组 完全 剩余 系 。 
只 需要 证 明 这 m 个 数 模 m 两 两 不 同 余 即 可 (这 里 用 到 * 抽 层 原 则 ?或 “ 铝 烛 原理 ") 。 若 存 
在 a; 和 oj ,i 取 j ,使 得 

aai+b=aaj;+b (mod m) 
则 有 mlala; 一 Qj) ,由 于 (4a,m2) 二 1, 所 以 a; 三 aj (mod m)。 这 与 a1,4s，… ,a 模 m 两 两 不 
同 余 矛 盾 。 因 此 ,aai 十 5,aas 十 6b,…,aan 十 b 模 m 两 两 不 同 余 。 国 
定理 2. 8 中 取 特 例 5 二 0, 说 明 aa ,aas，…,aa 也 是 模 m 的 一 组 完全 剩余 系 。 于 是 ， 
aai(mod m) 必 然 有 且 仅 有 一 个 数 为 1(mod m)。 于 是 可 引出 如 下 概念 : 
定义 2.3 设 普 是 一 个 正 整数 ,a 是 一 个 整数 ,如 果 存 在 整数 w 使 得 
aa’ 三 1 (mod m) 
成 立 , 则 a 叫 作 模 m 的 可 道 元 ,a 叫 作 a 的 模 m 道 元 。 
根据 定理 2. 8, 在 模 m 的 意义 下 ( 即 m 的 完全 剩余 系 中 ) ,a 是 存在 且 唯 一 的 。 
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在 模 m 的 一 个 剩余 类 中 ,如 果 有 一 个 数 与 m 互 素 , 则 该 剩余 类 中 所 有 的 数 均 与 
互 素 。 

定义 2.4 一 个 模 m 的 剩余 类 叫 作 简化 剩余 类 ,如 果 该 类 中 存在 一 个 与 m 互 素 的 剩 
余 , 模 m 的 简化 剩余 类 的 全 体 所 组 成 的 集合 写成 

(Z/mZ)* = {C, |0<a<m—l1,(am) = 1} 
特别 地 , 当 mm 二 p 为 素数 时 ,也 写成 
Fs = (ZZ)" = {CCri} = {CG [10Sa 和 pl}= FE,\(C)} 

例 2.4 设 m 二 12, 则 模 m 的 简化 剩余 类 为 {Ci .Cs ,Ci ,Cu } 。 

例 2.5 设 m==7, 则 模 m 的 简化 剩余 类 为 {Ci.,C; ,Ca ,Ce Cs ,Cs})。 

定义 2.5 设 m 是 一 个 正 整 数 ,在 模 m 的 所 有 不 同 简化 剩余 类 中 ,从 每 个 类 任 取 一 
个 数组 成 的 整数 的 集合 , 叫 作 模 m 的 一 个 简化 剩余 系 (reduced residue)。 有 的 书籍 也 称 
之 为 既 约 剩余 系 、 缩 剩余 系 、 缩 系 。 

例 2.6 设 =12,. 则 1,5,7,11 构成 模 12 的 简化 剩余 系 。 
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例 2.7 设 m==7, 则 1,2,3,4,5,6 构成 模 7 的 简化 剩余 系 。 

定义 2.6 设 mn 是 一 个 正 整数 , 则 m 个 整数 0,1,…,m 一 1 中 与 m 互 素 的 整数 的 个 
数 , 记 为 (zz) , 叫 作 Euler 函数 。 

例如 ,p(2) 一 1, 约定 (1) 一 1。 

显然 , 模 m 的 简化 剩余 类 的 个 数 为 gm), 即 |(Z/mZ)* | 二 glm)。 模 m 的 简化 剩余 
系 的 元 素 个 数 为 pCm) 。 

与 定理 2.7 类 似 , 有 以 下 定理 给 出 简化 剩余 系 的 判定 方法 。 

定理 2.9 设 m 是 正 整 数 , 则 g(x) 个 整数 a1,as，… ,ayow 为 模 m 的 一 个 简化 剩余 系 
的 充 要 条 件 是 它们 与 m 互 素 , 且 模 m 两 两 不 同 余 。 

与 定理 2.8 类 似 , 有 以 下 定理 给 出 简化 剩余 系 的 构造 方法 。 

定理 2.10 设 m 是 正 整 数 ,整数 a 满足 (a,m)= 二 1。 若 z+ 遍历 模 m 的 一 个 简化 剩余 
系 , 则 az 也 遍历 模 m 的 一 个 简化 剩余 系 。 

证 明 因为 (a,m) 二 1,(z,m) 二 1, 于 是 (az,m) 二 1。 故 az 为 m 的 简化 剩余 类 的 剩 
余 。 然 后 只 需要 证 明 ea ,aas ,… ,aagmw 这 gpg(m) 个 数 模 m 两 两 不 同 余 即 可 。 若 存在 w 和 
aj ,天 记 使 得 


aai = aaj(mod m) 
则 有 mlalai 一 qj) ,由 于 (az 一 1, 所 以 ww 一 wCmod m)。 这 与 a1 ,4s，… sagw 模 m 两 两 
不 同 余 矛 盾 。 因 此 ,az 也 遍历 模 m 的 一 个 简化 剩余 系 。 国 


例 2.8 设 m=7,a 为 与 m 互 素 的 数 ,z 遍历 模 m 的 简化 剩余 系 ,计算 az (mod m) 
可 得 到 表 2. 1。 


表 2.1 计算 ax (mod m) 的 结果 


olalalwlv|l- 
olalalolo|i-|- 
alwol-lolniv|in 
=ialvlolw|lw 
wlolv|lal-|ie|» 
Sisalol-lwluala 
Inlwln|iualo|ls 


从 表 2. 1 可 见 ,az 也 遍历 模 m 的 一 个 简化 剩余 系 。 

定理 2. 10 再 一 次 说 明了 a 的 逆 元 是 存在 且 唯 一 的 (第 6 章 将 会 看 到 ,这 个 表 也 构成 
了 一 个 乘法 群 中 的 运算 表 ) 。 

下 面 考察 Euler 函数 的 性 质 。 

例 2.9 若 p 为 素数 , 则 pg(p) 二 p 一 1。 

例 2.10 车 p 为 素数 ,上 且 整 数 a 宇 1, 则 pg(p')=p* 一 p" 1 二 p*(1 一 1/p)。 

解答 0,1,2,3,…,p" 一 1 与 pr 不 互 素 的 数 只 有 Zp 的 倍数 ,有 Ze 一 个 , 即 0,p,2p， 
3 力 ，，( 力 :一 1) 力 。 

容易 看 到 ,其 中 不 互 素 的 数 所 占 比 例 为 1/p, 互 素 的 数 所 占 比 例 为 1 一 1/p。 
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例 2.11 若 p,g 为 不 同 的 素数 .n= 二 pg; 则 gD) 二 (jp 一 1)(g 一 1) 二 pg(p)g(g)。 

解答 0,1,…,n 一 1 中 的 倍数 有 g 个 , 即 0,p,2p,…,p(q 一 1); 同 时 ,g 的 倍数 有 
个 , 即 0,g,2g,…,(p 一 1)g。 这 其 中 有 重合 的 , 即 为 pg 的 倍数 有 0。 因此 ,与 不 互 素 
的 数 有 g 十 p 一 1 个 ,与 互 素 的 数 有 nn 一 (p 十 g 一 1) 二 pq 一 p 一 9 二 1 二 (p 一 1) (gq 一 1) 
glp)g(q) 个 。 

例 2.12 9?(77) 一 p(7)p(11) 一 6。10 一 60。 

下 面 给 出 一 般 的 情况 。 

定理 2.11 设 正 整数 的 标准 分 解 式 为 

n= [lp° = pr pe*ps 


pln 


时 Y 1 1 
wo "I[ ( 5) "(1 rb 二 方 
证 明 当 n 二 pr 时 , 模 的 完全 剩余 系 {0,1,…,p" 一 1} 的 pr 个 整数 中 ,与 p 不 互 素 的 
只 有 户 的 倍数 ,共有 jp: 个 ( 即 0,p,2p,…,(p”! 一 1)p), 因 此 ,与 p* 互 素 的 数 共 有 


p" 一 p””' 个 数 , 即 


则 


pp)=p—p" "=p (1—1/p) 
由 定理 2. 11, 得 出 
gn)= pph) op) pp) = ph (eo1/p) pe (lo—1/p) pr (1—1/p) 
n(l—1/p)(1—1/p)…(1—1/p) 国 

例 2.13 计算 p(120) 。 
解答 120 一 23。3。5,p(120) 王 120。(1 一 1/2)。(1 一 1/3)。(1 一 1/5) 一 32 
推论 2.1 设 m,n 是 互 素 的 两 个 正 整 数 , 则 

pmn) = pm) p(n) 
证 明 记 疡 ,2 的 标准 分 解 式 是 

m= [|[p° = pr py pe 


pln 


n= [a = oo 


人 lm 


m,n 互 素 ,于 是 
pmn) = pph pr" prqh gg ) 


“(| 坟 - 坟 (-G- 芭 -上 车 
DE- 


= pm) p(n) 国 
例 2.14 gqg(30)=9(6)9(5)=9p(2)9(3)9(5)=1.: 2°. 4=8。 
注意 : Euler 函数 不 是 严格 的 乘 性 函数 (zy)= 一 (rz)F(y)), 只 有 在 互 素 情况 下 才 具 
有 来 性 。 
例 2.15 gyg(2:4)=g(8)=8 一 4==4 隆 gq(2)p(4)=2。 
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9(3 .6) 一 p(3 .3 .2) 一 (9 一 3) .1 一 6 天 p(3)p(6) 一 2 。2 一 4。 
例 2.16 设 n 二 pg,p,g 均 为 素数 , 则 可 由 p(n) 和 nn 求 出 p,q。 
解答 n= 二 pg,g(n) 二 (p 一 1)(g 一 1) 二 pg 一 p 一 g 十 1 二 n 一 p 一 q 十 1。 于 是 p 十 q 二 n 十 
1—9(n)。 
由 根 与 系数 关系 ,p,g 是 方程 
XC—(nt+l1—p(n))rz+i+n=0 
的 两 个 根 ,因此 可 以 求 出 p 和 g。 
下 面 先 考察 以 下 例子 ,看 能 否 用 归纳 法 得 出 一 般 规律 。 
例 2.17 设 m=12,g(12) 二 4。1,5,7,11 构成 模 12 的 简化 剩余 系 ,(5,12) 二 1, 因 
此 ,5。1,5。5,5。7,5。11 也 构成 模 12 的 简化 剩余 系 。 计 算 可 知 
5。1 三 5 (mod 12) 
5s5 去 iacdil2) 
5。7 三 1] (mod 12) 
5。11 三 7 (mod 12) 
将 上 面 4 个 式 子 的 左边 相 乘 , 由 定理 2. 3, 可 得 
(5。1)(5。5)(5。7)(5。11)=5.1.11.7 (mod 12) 


即 
5+。(1.5.7.11)=5.1.11.7 (mod 12) 
由 于 (1，5。7。，11,12)= 二 1, 因 此 ,由 定理 2.4 知 ,5' 圭 1 (mod 12), 即 
579 = 1 (mod 12) 
思考 2.2 仔细 观察 上 述 计 算 过 程 ,然后 尝试 给 出 其 他 的 例子 ,看 能 否 归纳 出 一 般 的 
结论 。 
定理 2. 12(Euler 定理 ) 设 m 是 大 于 1 的 整数 ,如 果 a 是 满足 (a,m) 王 1 的 整数 , 则 
ar =1 (mod m) 
证 明 设 ,rs，… ,row 是 模 m 的 一 组 简化 剩余 系 , 根 据 定理 2. 10 
Q11yQ12 ar gm) 
也 是 模 m 的 一 组 简化 剩余 系 ,因此 
(ari) ® (ars) ee (argm) re re ee ram (mod m) 
即 


a 


“rereeem ergm) re re * rom (mod m) 
又 (ri ree。rxm ;1m) 二 1, 所 以 
ar = 1 (mod m) 国 
推论 2.2(Fermat 小 定理 ) ” 设 p 是 一 个 素数 , 则 对 于 任意 整数 a, 均 有 
a? 三 a (mod p) 

证 明 车 pla; 则 a? 寺 0 (mod p),a 寺 0 (mod pp), 所 以 a? 志 a (mod p)。 若 p a, 则 
(p,qa) 二 1, 根 据 Euler 定理 ,有 a”” 二 a*! 寺 1 (mod p), 于 是 有 a? 二 a (mod p)。 国 

推论 2.3 若 p 是 素数 ,a 是 整数 ,上 且 p a, 则 a* a 一 1(mod p)( 即 a* ?是 a 模 p 
的 逆 元 ) 。 
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下 面 先 考察 以 下 例子 ,看 能 否 用 归纳 法 得 出 一 般 规律 。 
例 2.18 设 p==17, 是 一 个 素数 ,观察 : 
1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16 
=(2.9).(3.6).。(4.13).。(5.7).。(8.15).(10.12).。(11.14)。(1.16) 
=1.1.1.1.1.1.1.( 一 1) 
三 一 1(mod 17) 
思考 2.3 仔细 观察 上 述 计 算 过 程 ,然后 尝试 给 出 一 个 类 似 的 例子 ,看 能 否 归纳 出 一 
般 情况 。 
思考 2.4 为 什么 两 两 “配对 ”后 最 后 就 剩 下 了 一 1? 
理由 见 下 面 的 定理 。 
定理 2. 13(Wilson 定理 ) ” 设 p 是 一 个 素数 , 则 
(p— 1)!=—1 (mod p) 
证 明 车 p 二 2, 结 论 显然 成 立 。 
车 p 宇 3, 根 据 定理 2. 10, 对 于 每 个 整数 we(1] 委 和 如 一 1) ,存在 唯一 的 整数 a'(1<a’ 达 
2 一 1) ,使 得 
aa’ 三 1 (mod p) 
而 a 二 a 的 充 要 条 件 是 a 满足 
a 三 1 (mod p) 
此 时 ,a 二 1 或 者 p 一 1。 
因此 , 当 a€1{2,3,…,p 一 2}) 时 ,有 a €E1{2,3,…,p 一 2}, 因 此,{2,3,…,p 一 2)} 中 的 a 
和 w “两 两 配对 。 于 是 ,2。3.… 。 (p 一 2) 三 1] (mod p)。 
(一 1D)!=1.2.3.…. (一 2).。 (p—1)=1.(p—1) 1 (modp) ”图 
图 2.1 给 出 了 证 明 的 示意 图 。 


(Or-DL=1.P 30- Oo-D=1: (p-1)a-l(mod p) 


两 两 配对 ， 乘 积 为 1 
图 2.1 Wilson 定理 证 明 的 示意 图 
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2.3.1 密码 系统 的 基本 概念 模型 


信息 安全 中 最 重要 的 基础 部 分 是 密码 学 ,密码 学 的 最 初 目的 是 保密 。 图 2. 2 给 出 密 
码 系统 的 基本 概念 。 
定义 2.7 密码 系统 (cryptosystem) 。 
一 个 密码 系统 是 一 个 五 元 组 <P.C, 玉 , 尼 ,D>, 满 足 : 
(1) P 是 可 能 明文 的 有 限 集 ( 明 文 空间 )。 
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明文 一 | 加密 | 密 文 一 [ 解密 | -~ 明文 


加 密 密 钥 解密 密 钥 
图 2.2 密码 系统 


(2) C 是 可 能 密 文 的 有 限 集 ( 密 文 空 间 ) 。 

(3) K 是 一 切 可 能 密 钥 构成 的 有 限 集 ( 密 钥 空 间 ) 。 

(4) 任意 AE 天 ,有 一 个 加 密 算 法 ei, EE 和 相应 的 解密 算法 Lu E 了 ,使 得 ex :P 一 C 
和 di :CP 分 别 为 加 密 和 解密 函数 ,满足 di, (ex (z)) 二 x, 这 里 ZEP。 

古典 密码 体制 通常 对 字符 进行 运算 ,26 个 英文 字符 常 被 抽象 为 0 一 25 间 的 整数 (在 
计算 机 发 明之 后 ,现代 密码 体制 通常 对 比特 bit 进行 运算 ) 。 

如 果 二 &。, 即 加 密 密 钥 等 于 解密 密 钥 , 则 称 为 对 称 密 钥 密码 体制 ;否则 , 称 为 非 对称 
密 钥 密 码 体制 (又 叫 公 钥 密码 体制 )。 古 典 方案 都 是 对 称 密 钥 密码 体制 , 公 钥 密码 体制 是 
在 1976 年 由 W. Diffie 和 M. Hellman 提出 的 , 它 的 出 现 是 密码 学 发 展 史 上 的 一 个 里 
程 碑 。 

对 称 密码 按照 明文 的 类 型 可 分 为 序列 密码 (又 叫 流 密码 ,stream cipher) 和 分 组 密码 
(block cipher) 。 序 列 密码 对 明文 按照 字符 或 者 比特 逐 位 加 密 , 对 密 文 逐 位 解密 。 分 组 密 
码 将 明文 按照 一 定 的 长 度 分 组 (block) ,加 密 和 解密 分 组 进行 。 


2.3.2 移 位 密码 


模 运 算 在 古典 密码 中 有 和 较 多 的 应 用 。 这 是 因为 古典 密码 通常 对 26 个 英文 字母 进行 
操作 。 
将 26 个 英文 字符 从 a 一 z 依次 分 别 与 0 一 25 的 整数 建立 一 一 对 应 关系 。 


[和 
0123456789 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 


仿 
hh 


P=C=K=Z% XEP,yECkEK 
定义 加 密 解 密 算法 , 即 
er(X) = zk mod 26 
di(y) = y—k mod 26 
例 2.19 Caesar 密码 。Caesar 密码 是 上 二 3 的 移 位 密码 ,车 明文 为 please, 请 写 出 
密 文 。 
解答 ” 密 文 为 sohdvh。 


2.3.3 Vigenere 密码 


维 吉 尼 亚 密码 (Vigenere cipher) 于 1858 年 由 法 国 密码 学 家 B. D. Vigenere 提出 。 
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定义 2.8 设 汉 为 某 个 固定 的 正 整 数 .P.C,K 分 别 为 明文 空间 、 密 文 空间 、 密 钥 空 
间 , 且 PP 二 C=K 二 (Zws)” ,对 一 个 密 钥 4 一 (Ai ,An) ,定义 
二 


ae(yyyzyym) 2 dE | 

这 里 (zi ,zxs，,… ,zm ) 为 一 个 明文 分 组 中 的 m 个 字母 。 所 有 运算 在 Zss 中 进行 。 密 钥 长 度 
为 m, 故 密 钥 空间 为 26"。 明 文 是 按照 长 度 为 m 的 分 组 进行 加 密 的 。 

Vigenere 密码 是 典型 的 多 表 代 换 ,加密 中 一 个 字母 可 被 映射 到 m 个 可 能 的 字母 之 一 
(假定 密 钥 包括 m 个 不 同 的 字母 ), 所 以 分 析 起 来 比 单 表 代 换 更 困难 。 

思考 2.5 设 m 二 5, 密 钥 字 为 ^hello”, 如 何 加 密 “university”? 

明文 分 组 为 unive,rsity, 明 文 转化 为 Zs 为 20,13,8,21,4 和 17,18,8,19,24。 

密 钥 字 实际 为 k 二 (7,4,11,11,14) ,Zz 表示 的 密 文 为 1,17,19,6,18 和 24,22,19,4， 
12。 密 文字 母 为 *brtgs,ywtem”。 


2.3.4 ”Hill 密码 


希 尔 密码 (Hill cipher) 由 数学 家 L. Hill 于 1929 年 提出 。 其 基本 思想 是 把 m 个 连续 
的 明文 字母 代 换 成 mm 个 连续 的 密 文字 母 , 这 个 代 换 由 密 钥 决 定 ,这 个 密 钥 是 一 个 变换 矩 
阵 , 解 密 时 只 需要 对 密 文 做 一 次 逆 变 换 即 可 。 
定义 2.9 设 交 是 某 个 固定 的 正 整 数 ,P,C,K 分 别 为 明文 空间 、 密 文 空 间 、 密 钥 空 
间 , 且 P= 二 C= 二 (Zzo)", 设 K== (hi),xn 是 一 个 mXm 可 道 和 矩阵 ,即行 列 式 det(K) 隆 0, 且 
gcd(26,det(K) 王 1)。 对 任意 密 钥 AE 开 ,定义 
ek(Z) = zk 
di(y) = yk 
所 有 运算 均 在 Zs 中 进行 。 特 别 地 , 当 m= 二 1 时 ,Hill 密码 退化 成 单字 母 仿 射 密码 。 


例 2.20 设 m=2, 密 钥 K 一 | | 容易 计算 K- 一 | : 上 | 设 明 文 为 bil. 相应 
的 明文 向 量 为 [7,8] 和 [11,11], 于 是 ,相应 的 密 文 向 量 分 别 为 


C7.8]| 小 [77 十 24,56 十 56] == [23,8] 


nn 中- [121 十 33,88 十 77] = [24,9] 


故 密 文 为 xiyj 。 
思考 2.6 ”如 果 明 文 长 度 为 3 如 何 处 理 ? 安全 强度 如 何 ? 


[1] 2015 年 3 月 1 日 是 星期 日 , 问 第 2” 天 是 星期 几 ? 
[2] 计算 下 列 数 对 于 模 的 逆 : 
(1) 3 模 11 的 道 ; (2) 17 模 10 的 逆 ; (3) 23 模 17 的 逆 ; (4) 19 模 29 的 逆 。 
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[3] 判断 下 列 结果 是 否 正确 ? 如果 正 确 , 请 给 出 证 明 ;如果 不正 确 , 请 给 出 反例 。 
(1) 车 a 三 b(mod m),c 三 d(mod m), 则 a 一 c 寺 6b 一 d(mod m)。 
(2) 若 对 三 关 (mod m), 则 a 圭 b(mod m)。 
(3) 车 三 所 (mod 加) , 则 a 三 b(mod m) 或 4 三 一 b(mod m) 至 少 有 一 个 成 立 。 
(4) 车 a 硅 b(mod m), 则 a? 寺 b? (mod zz ) 。 

[4] 计算 : 

(1) 写 出 模 9 的 一 个 完全 剩余 系 , 它 的 每 个 数 是 奇数 。 

(2) 写 出 模 9 的 一 个 完全 剩余 系 , 它 的 每 个 数 是 偶数 。 

[5] 计算 

(1) 写 出 剩余 类 7 mod 17 中 不 超过 100 的 正 整数 。 

(2) 写 出 剩余 类 6 mod 15 中 绝对 值 不 超过 90 的 整数 。 

6] 计算 欧 拉 函 数值 p(96) ,p(143) ,p(256) 。 

7] 写 出 Z/7Z 中 的 加 法 表 和 乘法 表 。 

8] 运用 Wilson 定理 , 求 8 “9.10.11.12.13 (mod 7)。 

9] 证 明 : 70! 志 611(mod 71) 。 

10] 编写 程序 实现 Vigenere 密码 算法 和 Hill 密码 算法 。 
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第 3 音 
” 同 余 式 


第 2 章 引 入 了 同 余 的 概念 ,本 章 介绍 在 模 m 情况 下 同 余 式 的 求解 。 首 先 介绍 一 次 同 
余 式 的 求解 ,再 介绍 一 次 同 余 式 组 的 求解 。 
本 章 的 重点 是 中 国 剩余 定理 及 其 在 RSA 中 的 应 用 ,难点 是 模 重复 平方 法 。 


5 一 次 同 余 式 


3.1.1 一 次 同 余 式 的 求解 


定义 3.1 设 mm 是 一 个 正 整 数 ,/(x) 为 多 项 式 且 
f(x) =ar’ 十 … 十 az 十 ao 
其 中 w 是 整数 , 则 
f(x) 0 (mod m) 

称 作 模 m 同 余 式 。 若 a" 半 0 (mod 区 2) , 则 nr 叫 作 f(z) 的 次 数 , 记 为 degf。 此 时 叫 作 模 六 
的 nn 次 同 余 式 。 

如 果 整 数 a 使 得 

f(a)=0 (modm) 

成 立 , 则 a 叫 作 同 余 式 的 解 。 

事实 上 ,满足 x 三 a (mod m) 的 所 有 整数 都 使 得 该 同 余 式 成 立 。 因 此 ,在 讨论 同 余 方 
程 的 解 时 ,以 一 个 剩余 类 作为 一 个 解 。 在 模 m 的 完全 剩余 系 中 ,使 得 同 余 式 成 立 的 剩余 
的 个 数 叫 作 同 余 式 的 解数 。 

下 面 首先 考虑 一 次 同 余 式 的 求解 。 

定理 3.1 一 次 同 余 方程 ar 三 6 (mod m) 有 人 解 的 充 要 条 件 是 (a,m)16, 且 当 其 有 解 
时 ,其 解数 为 (a,m)。 

在 证 明之 前 ,回顾 定理 1. 8 及 其 推论 1. 1, 若 同 余 方程 有 解 , 即 b 可 以 由 a,m 线性 表 
出 ,于 是 (a,m)16。 

证 明 先 证 明 必 要 性 。 设 同 余 方 程 at 志 5 (mod m) 有 和解, 解 为 zo, 则 存在 整数 4， 
使 得 

azo 一 km++b 
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即 
b= azxo— km 
由 于 (a,m) 1a,(awm)1m, 因 此 


(asm) | aro—km=6 


再 证 明 充分 性 。 

» 由 a 了 Wa 过 

设 a am tam my 易 知 ,a ,m ,5b' 均 为 整数 。 
首先 考虑 同 余 方 程 


ar 三 1 (mod m’) 
因为 gcd(a’,m') 二 1, 可 知 a' 存 在 模 m 的 乘法 逆 元 xo( 见 定义 2.3)。 满 足 a'zo 二 1 (mod 
m ), 且 在 模 m' 下 , 逆 元 是 唯一 的 , 即 同 余 方 程 a'z 二 1(mod m ) 存 在 唯一 解 
zo (mod m’) 
因此 , 易 知 同 余 方 程 
az 三 b (modm’) 
也 存在 唯一 解 
XZ 三 Xr0b (mod mm’) 
下 面 证 明 这 个 解 也 是 az 三 b (mod m) 的 特 解 。 
不 妨 设 =kim' 十 zob',k1EZ 


/ 7 
akimt+azxob 


. A b 
az 一 akim + azrob ak1 ee 人 nt 


三 axzop (mod mm) 
由 于 a'zxo 二 1(mod m ) ,不 妨 设 a’xo 一 kom’ 十 1 ,ks EZ 


a’rob= (ksmt 1)6b = kem’b tb = k b+b= kmb’ 十 0 
(a, a 


三 b (mod m) 
最 后 ,ax 三 b (mod m) 的 全 部 解 为 


r= try (modm) 一 0,1,…,(asm) 一 1 


a,m) 
其 原因 是 : 如 果 同 时 有 同 余 式 
art 三 b (modm), azxi 三 b (mod m) 
成 立 , 两 式 相 减 得 到 
a(z—X1)=0 (modm) 
这 等 价 于 
二 iy (moa ts ) 
因此 ,zx 只 要 与 x1 关于 十 7 同 余 ， 即 为 cz=0 (mod m) 的 解 。 国 


定理 3.1 的 证明 过 各 其实 出 了 一 次 同 余 式 求 解 的 过 程 。 
定理 3.2 设 交 是 一 个 正 整数 ,a 是 满足 (a:zz)12 的 整数 , 则 一 次 同 余 式 
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ar 三 b (mod m) 


的 全 部 解 为 


a m pb , m 加 i Es 
工 三 ((as) (moa < 如 ay (modm) +=0,1,%%,(a,m)—1 
国 


定理 3. 2 其 实 给 出 了 一 次 同 余 式 “ 根 与 系数 的 关系 ”。 定 理 3. 2 是 定理 3. 1 的 充分 性 
证 明 过 程 的 结果 ,图 3.1 给 出 了 解 的 3 个 部 分 与 定理 3. 1 的 对 应 关系 。 为 便于 记忆 ,这 里 
将 这 3 个 部 分 简称 为 “ 模 系 收缩 求 逆 元 ”“ 逆 元 扩大 求 特 解 …z 变 模 扩 求 全 解 "。“ 模 系 收 
缩 " 的 目的 是 使 得 “系数 a” 和 * 模 m” 之 间 互 素 ,从 而 可 以 求 “ 系 数 a 的 逆 元 "。 有 了 “ 北 元 ” 


之 后 就 可 以 扩大 “6 一 一 2 -” 求 出 特 解 。 最 后 再 由 特 解 求全 解 。 


~ (asm) 


加 Q_ 1 m b m i 
二 (| 公司 | (¥ 站 ja +t a (mod m) 1=0,1,.…,(a, m)-1 
| Xo 


J 
L xob’ (x1) | 


本 
其 时 一 
' (a,m) 


图 3.1 一 次 同 余 式 “ 根 与 系数 的 关系 ”示意 图 


由 定理 3. 2 可 以 给 出 一 个 求解 一 次 同 余 式 的 算法 。 

例 3.1 求解 同 余 方 程 6z=5 (mod 8) 。 

解答 (6,8) 5, 由 定理 3. 1 知 , 同 余 方程 无 解 。 

例 3.2 求解 同 余 方程 3z=5 (mod 8) 。 

解答 〈3,8)15, 所 以 同 余 方程 有 解 。 

先 解 同 余 方 程 3x 三 1 (mod 8), 此 方程 解 唯一 , 易 知 其 解 为 x 三 3 (mod 8), 则 同 余 
方程 

3 三 5 (mod 8) 
也 存在 唯一 解 
(mod8) 

即 为 原 方程 的 解 。 

例 3.3 求解 同 余 方程 6z=2 (mod 8)。 

解答 ” 先 判 断 (6,8)12, 所 以 同 余 方程 有 解 。 

先 解 同 余 方 程 3 三 1 (mod 4) ,此 方程 解 唯一 , 易 知 其 解 为 


I 三 3 (mod 4) 
取 工 二 3, 则 
一 局 十 号 一 3 十 生 ， 企 = 0,1) (mod 8) 
为 原 方程 的 解 。 原 方程 的 所 有 解 为 


ZX 三 3 (mod 8) 
工 三 3 十 4 三 7 (mod 8) 
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例 3.4 求解 同 余 方程 6 二 4 (mod 8)。 

解答 ” 先 判 断 (6,8)14, 所 以 同 余 方程 有 解 。 

先 解 同 余 方程 3 二 1 (mod 4) ,此 方程 解 唯一 , 易 知 其 解 为 
I 三 3 (mod 4) 


同 余 方 程 
3 三 2 (mod 4) 
也 存在 唯一 解 
XIX 三 Xi 三 2。3 三 2 (mod 4) 
取 二 2, 则 
z= =2+d (= 0,) (mod 8) 
为 原 方程 的 解 。 原 方程 的 所 有 解 为 
三 2 (mod 8) 
三 6 (mod 8) 


3.1.2 一 次 同 余 式 在 仿 射 加 密 中 的 应 用 


仿 射 密码 是 一 种 古典 密码 ,其 算法 设计 时 用 到 的 数学 基础 是 模 运 算 和 同 余 方程 。 上 
一 章 曾 经 介绍 过 移 位 密码 ,由 于 移 位 密码 的 密 钥 量 太 小 , 且 移 位 密码 在 加 密 代 换 后 字母 的 
先后 次 序 其 实 没有 改变 。 仿 射 密码 可 以 改进 上 述 两 个 弱点 。 
定义 明文 空间 P 二 Zo。 、 密 文 空间 C 一 Zx 、 密 钥 空 间 为 
K = {(a,b) € Ze » Zao:gcd(a,26) = 1} 


对 于 
IEP,y€ECk=(a,b) EK 
定义 加 密 函 数 
ek(z) 一 az 十 mod26 
定义 解密 函数 


di(y) =a'(y—6b) mod 26 

例 3.5 利用 仿 射 加 密 ,a 一 3,0 一 5, 模 为 26。 

解答 易 知 ,加 密 函 数 为 e(z) 一 3z 十 5 (mod 26) 。 

加 密 明 文 hello, 其 在 Zs 表示 为 7.4,11,11,14。 

加 密 密 文 用 Zz ,表示 为 0.17,12,12,21, 即 密 文 为 armmv。 

思考 3.1 仿 射 密码 中 a 是 否 有 要 求 。 

根据 定理 3. 1, 这 里 要 求 (a,26) 一 1; 和 否则 .加 密 函 数 就 不 是 一 个 单 射 函数 。 

例如 , 当 &=(6,1) 时 ,(a,26) 二 (6,26) 二 2 时 ,对 xzEZoe, 有 

6(z 十 13) 二 1 一 6z 十 1 mod 26 

于 是 zx,z 十 13 都 是 6z 十 1 的 明文 。 

思考 3.2 证 明 (a,26) 二 1 时 , 仿 射 密码 的 解 唯一 。 

证 明 设 存在 zi,zzEZzx ,使 得 eg(Cz) 王 az 十 0 一 az 十 0 mod 26, 于 是 azrl 一 azz 
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mod 26, 有 26|a(zi 一 zz), 又 因为 (ae,26) 王 1, 所 以 26| (zi 一 xs), 由 于 zz ,xs EVs, 得 到 
ZI 一 Z2o。 国 

思考 3.3 仿 射 密码 的 密 钥 空间 大 小 , 即 密 钥 的 数量 有 和 多少。 

a 的 可 能 性 为 12, 因 为 a€ Zz ,gcd(a,26) 一 1, 即 

a= 9(26) 一 9(2。13) = 9(2). pg(13)=1.12=12 

45E Zzs ,0 的 可 能 性 为 26。 

故 整个 密 钥 空间 大 小 为 12X26 一 312 。 

如 果 密 钥 空 间 太 小 ,容易 导致 穷 举 所 有 可 能 的 密 钥 ,然后 看 能 否 解密 密 文 的 攻击 。 

另外 , 当 a=1 时 , 仿 射 密码 就 退化 为 移 位 密码 。 


3.2 中国 剩余 定理 


在 研究 了 一 次 同 余 式 之 后 ,下 面 考虑 一 次 同 余 式 组 。 

中 国 剩余 定理 (Chinese remainder theorem,CRT) ,又 称 孙 子 定理 ,最 早 见于 公元 5 一 
6 世纪 ,我 国 南北 朝 的 一 部 经 典 数学 著作 《孙子 算 经 ) 中 的 “ 物 不 知 数 "问题 : 

“ 今 有 物 不 知 其 数 , 三 三 数 之 剩 二 ,五 五 数 之 剩 三 ,七 七 数 之 剩 二 , 问 物 几何 ?” 

这 其 实 是 求解 一 个 一 次 同 余 方程 式 组 , 即 


TI 三 2 mod3 
ZX 三 3 mod5 
XT 三 2 mod7 


《孙子 算 经 》 中 给 出 了 解法 ,但 这 只 是 一 个 孤立 的 例子 。 南 宋 数学 家 秦 九 韶 创 立 的 “大 
衍 求 一 术 ” 一 般 性 地 解决 了 一 次 同 余 方 程 组 的 求解 问题 ,中 国 古 代 这 一 成 果 统 称 为 “孙子 
定理 ”, 在 外 国文 献 中 常 被 称 为 “中国 剩 余 定理 ”。 它 可 能 是 最 著名 的 由 中 国人 给 出 的 
算法 。 

在 给 出 CRT 算法 之 前 , 先 给 出 一 个 逐步 尝试 (或 局 部 调整 ) 的 算法 体会 一 下 ,可 以 得 
到 结果 ,但 其 时 间 效 率 不 高 。 方 法 是 : 在 模 3 余 2 的 数 最 小 为 5, 不 断 增加 3 ,保持 模 3 余 
2 ,使 其 能 够 模 5 余 3, 刚 好 是 5 十 3 二 8, 然 后 在 保持 模 2 余 3 和 模 5 余 3 的 情况 下 ,不 断 增 
加 15( 即 不 改变 模 3 和 模 5 的 余数 ) ,使 得 模 7 余 2, 刚 好 是 8 十 15 一 23。 

在 给 出 正式 的 算法 之 前 ,请 先 思考 以 下 同 余 式 组 , 即 

二 0d3 
三 2mod5 
Et 
容易 知道 ,这 个 容易 解决 , 即 x 三 2 (mod 105) ,于 是 zx 一 3。5。7K 十 2,KEZ。 
问题 是 ,如 果 余 数 不 再 相等 , 则 问题 就 有 点 麻烦 了 ,再 来 看 同 余 式 组 , 即 
Tz 三 2 mod 3 
F 三 $m0d5 
TX 三 4 mod7 
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设法 从 3Ki 十 2,5Ks 十 3,7Ks 十 4(Ki,K,,KsE2Z) 中 找到 同一 个 数 看 上 去 是 不 容易 
的 。 也 就 是 说 ,找到 一 个 数 同时 满足 这 3 个 条 件 是 不 容易 的 。 于 是 ,能 否 换 个 思路 , 即 能 
否 把 x“ 想象 ”成 由 3 个 部 分 组 成 。 为 便于 对 CRT 求解 过 程 的 理解 ,下 面 专门 给 出 一 个 特 
别 的 表述 和 解释 。 

写成 3 个 部 分 的 好 处 是 : 每 个 部 分 的 条 件 将 “更 容易 ”满足 。 

令 工 二 A 十 B 十 C, 车 A,B,C 满足 以 下 条 件 , 则 为 解 。 这 里 [a],, 表示 模 m 与 a 同 余 。 

A= [2],B= [0];,C = [0j; 
A= [0];B = [3}Js;C = [0] 
A= [0]; :B= [oJ; = [2]， 

看 最 左边 一 列 ,A 为 5. 7 的 倍数 , 且 模 3 余 2, 这 样 A 就 比较 容易 求解 了 。A 可 用 以 
下 方法 计算 。 

A=-(5。7)。(5。7)-:。2。 因 为 这 个 表达 式 中 有 (5。7) ,因此 是 5 和 7 的 倍数 。 同 
时 这 个 表达 式 模 3 余 2。 原 因 是 : (5。7) 王 35。(5。7)-! 表 示 (5。7) 模 3 的 逆 元 。 
35 模 3 的 逆 元 是 2。 两 者 相 乘 必然 模 3 余 1。 因 此 ,再 乘 以 2 后 必然 模 3 余 2。 即 A= 
35。2。2 王 140 模 3 余 2, 且 为 5 和 ?7 的 倍数 。 

同 理 ,B 为 3。7 的 倍数 , 且 模 5 余 3, 于 是 ,可 用 以 下 方法 计算 : B= 二 (3，7)。 
(3。7)-:。3, 这 里 (3。7)-: 表 示 (3。7) 模 5 的 逆 元 。3。7 王 21,21 模 5 的 逆 元 是 1。 因 
此 ,了 B 一 21。1。3 一 63。 

同 理 ,C 为 3。5 的 倍数 , 且 模 7 余 2, 于 是 ,可 用 以 下 方法 计算 : B= (3，5)。 
(3。5)-!。2, 这 里 (3。5)-! 表 示 (3。5) 模 7 的 逆 元 。3。 5 二 15,15 模 7 的 逆 元 是 1。 因 
此 ,C=15。1。2 王 30。 

于 是 zx==A 十 B 十 C= 二 140 十 63 十 30= 二 233。 又 233 mod 105 王 23。 因 此 ,所 有 解 为 
105K 二 23。 

在 程 大 位 著 的 (算法 统 要 》(1593 年 ), 用 4 句 诗 给 出 了 上 述 解答 过 程 的 中 几 个 关键 
数字 : 


三 人 同行 古来 稀 , 五 数 梅花 廿 一 枝 ; 
七 子 团圆 正月 半 , 除 百 零 五 便 得 之 。 

这 几 个 关键 的 数字 是 : 与 模 3 对 应 的 是 70(* 古 来 稀 ”), 即 35。2; 与 模 5 对 应 的 是 
21(“ 廿 一 枝 ”, 即 21。1; 与 模 7 对 应 的 是 15。1 一 15(“ 正 月 半 ”) 。 有 了 这 三 个 关键 数字 ， 
只 要 给 出 x 模 3,5.7 的 余数 wa ,az ,as , 即 可 以 计算 出 结果 z 一 ai。70 十 az。21 十 as 。 
15 (mod 105) 。 结 果 除 去 105 二 3。，5。7 的 倍数 (“ 除 百 零 五 ?7 即 可 以 得 到 答案 。 

一 般 地 ,如 果 wa ,zs ,ms 是 两 两 互 素 的 正 整数 ,对 于 同 余 方 程 组 

TI 三 a mod mi 
I 三 a: mod m; 


X= as mod ms 
令 m 二 Thm: Mi 一 m/mi， 则 解 为 
i=1 
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3 
z= > M; Mi .ai(mod m) 
i=1 


当然 ,上 述 解法 可 以 推广 到 一 般 情况 。 

例 3.6 韩信 和 点 兵 问题 有 兵 一 队 , 若 列 成 五 行 纵队 , 则 末 行 一 人 , 若 列 成 六 行 纵队 ， 
则 末 行 五 人 ; 若 列 成 七 行 纵 队 , 则 末 行 四 人 :; 若 列 成 十 一 行 纵队 , 则 末 行 十 人 。 求 兵 数 。 

解答 ”转化 为 同 余 式 组 


TX 三 1] mod 5 


工 三 5 mod 6 
三 4 mod7 
三 10 mod 11 


应 用 CRT, 盖 一 5。6。7。11 王 2310 
M, = 2310/5 = 462,Mi = 3 (mod 5) 
Ms: = 2310/6 = 385,Mz! 1 (mod 6) 
Ms: = 2310/7 = 330,Mi 1 (mod 7) 
M, = 2310/11 = 210,M?! = 1 (mod 11) 
元 三 462。31 十 385。1.5 十 330s1<4 十 210ste10 
三 6731 三 2111 (mod 2310) 
下 面 给 出 CRT 的 严格 证 明 。 
定理 3.3( 中 国 剩余 定理 ) 设 mi,ms，…,m 是 & 个 两 两 互 素 的 正 整 数 , 令 mm 一 


k 


TL wi M:= mm/miGi 二 1,2,…,k), 则 对 任意 的 整数 o ,as，,…,as, 同 余 式 组 


tm 和 1 
三 a mod mi 


Xa: mod ms, 


Ta: mod mx 
有 唯一 解 , 即 
是 
z= > Mi .Ma (mod m) (3.2) 
其 中 : 
MM;! = 1 (mod m;) 
证 明 ”由 于 (mi;,mj) 二 1,i 关 j, 即 得 (Mi; ,mi;)= 二 1, 由 定义 2.3 和 定理 2.8 知 ,对 每 一 
个 M;, 有 一 个 M7! 存在 ,使 得 M;M7'! 寺 1 (mod mi)。 男 外 ,由 于 m= 二 mM; ,因此 ,mj|M;， 
i 天 了 , 故 
天 
> M MTT wsM MT aa(modm) 1 一 1,2 
i=1 
即 式 (3. 1) 为 式 (3.2) 的 解 。 
若 zi ,zs 是 满足 式 (3.2) 的 任意 两 个 整数 , 则 zi 三 zz (mod ma)(i 一 1,2,…,) ,因为 
(mismj) 二 1,i 关 j ,于 是 zi 三 xz (mod m), 故 式 (3.1) 仅 有 解 式 (3. 2)。 国 
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根据 CRT, 可 以 给 出 一 个 求解 一 次 同 余 式 组 的 算法 。 


3 同 余 式 的 应 用 


3.3.1 RSA 公 钥 密码 系统 
一 个 公 钥 密码 系统 的 示意 如 图 3. 2 所 示 , 具 体 的 描述 如 下 。 


n S$(random) 
Gen() 
> 
pk sk 
= Enc() = Dec() ge 
a C=Encp:(m) m=Decs(c¢) 


图 3.2 公 钥 加 密 体制 的 示意 图 


定义 3.2 一 个 公 钥 加 密 体制 是 这 样 的 一 个 6 元 组 CM,C,K,Gen(),Encn()， 
Decs 0 〇 0) ,满足 以 下 条 件 。 

(1) M 是 可 能 消息 的 集合 。 

(2) C 是 可 能 密 文 的 集合 。 

(3) 密 钥 空间 K 是 一 个 可 能 密 钥 的 有 限 集 。 

(4) 密 钥 生 成 算法 Gen() : 输入 安全 参数 ,输出 公 钥 pk 和 私 钥 sk。 

(5) 加 密 算 法 Ency 0 : 根据 输入 的 公 钥 pk 和 明文 m, 输 出 密 文 c 王 Encek(Cmz) 。 

(6) 解密 算法 Decs() : 根据 输入 的 私 钥 sk 和 密 文 c, 输 出 明文 m 二 Decs(c)。 

注解 : 

(1) 与 对 称 加 密 体制 的 一 个 最 大 不 同 是 ,加 密 密 钥 和 解密 密 钥 是 不 同 的 , 且 加 密 密 钥 
可 以 公开 ,解密 密 钥 需要 保密 。 

(2) 密 钥 生成 算法 在 对 称 加 密 体制 中 是 没有 的 (或 者 说 是 平凡 的 ) ,而 在 公 钥 密码 体 
制 中 却 是 不 平凡 的 。 密 钥 生 成 算法 可 能 是 随机 生成 的 密 钥 。 

(3) 随机 性 。 加 密 算法 可 能 是 随机 的 , 即 在 算法 中 可 以 使 用 一 个 随机 数 , 输 出 的 密 文 
与 该 随机 数 有 关 , 这 种 算法 叫 作 概率 加 密 ( 如 5.4 节 的 ElGamal 加 密 ) 。 

(4) 确定 性 。 解 密 算法 一 定 是 确定 的 。 

(5) 安全 性 ( 单 向 性 )。 在 已 知 密 文 c 和 公 钥 pk 的 情况 下 ,推出 明文 m 在 计算 上 是 不 
可 行 的 。 对 于 任意 的 &kEK ,在 已 知 Ency《) 的 情况 下 推出 Decs() 是 计算 不 可 行 的 。 对 于 
任意 的 &EK ,在 已 知 pk 的 情况 下 ,推出 sk 是 计算 不 可 行 的 。 

(6) 有 效 性 (实用 性 )。 公 钥 和 私 钥 的 产生 , 即 密 钥 生 成 是 容易 的 。 即 Gen() 是 多 项 
式 时 间 内 可 计算 的 。 已 知 公 钥 pk 和 明文 m, 计 算 密 文 c 二 Encs(m) 也 是 多 项 式 时 间 可 计 
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算 的 。 

(7) 一 致 性 。 对 每 一 个 二 (pk,sk) EK, 都 对 应 一 个 加 密 算法 Encn:M-~C 和 解密 
算法 Decs() :C-~M ,满足 对 于 任意 的 mE M, 若 c 二 Encys(m), 则 Decs(c) 一 mm。 

(8) 陷 门 性 。 若 已 知 私 钥 sk, 存 在 多 项 式 时 间 算 法 可 以 由 密 文 c 计 算出 明文 ,满足 
c 二 Encor(m) ,其 中 私 钥 sk 称 为 陷 门 信息 (trapdoor information)。 

1977 年 MIT 的 Ronald L. Rivest、Adi Shamir、Leonard Adleman 在 MIT 的 技术 报 
告 中 提出 RSA 方案 ,正式 发 表 于 1978 年 的 Communications of ACM.? 

RSA 利用 了 单 向 陷 门 函数 的 原理 ,其 示意 图 如 图 3. 3 所 示 , 陷 门 信息 是 解密 密 钥 即 
私 钥 d( 与 之 类 似 的 陷 门 是 的 分 解 ,因为 如 果 知 道 的 分 解 p 和 g ,就 可 以 从 公 钥 求 出 私 
钥 d) 。 

C=/(M)=M® modn 
MN a 
M=/"\(C)=C" modn 
图 3.3 RSA 利用 单 向 陷 门 函 数 的 原理 示意 图 


RSA 公 钥 密码 方案 描述 如 下 。 


(1) 密 钥 生 成 : 

J@ 选取 两 个 大 素数 p 和 g (如 长 度 都 接近 512bit) 。 

@ 计算 乘积 4 二 pgq.g47) 二 (p 一 1)(g 一 1), 其 中 gl) 为 n 的 欧 拉 函 数 。 

@ 随机 选择 整数 e(1 二 e 二 p(n)) ,要 求 满足 gcd(e,qp(m)) 二 1, 即 e 与 p(n) 互 素 。 
@ 用 扩展 的 Euclidean 算法 计算 私 钥 4d, 以 满足 4d，e 三 1 mod (gp(n)), 即 4 三 


e ! mod (p(n)), 


公 钥 为 e 和 n.d 是 私 钥 ( 两 个 素数 p 和 g ,可 销毁 ,不 能 泄露 ) 。 

(2) 加 密 过 程 : 

明文 先 转换 为 比特 串 分 组 ,使 每 个 分 组 对 应 的 十 进 制 数 小 于 mn, 即 分 组 长 度 小 于 
logzn, 然 后 对 每 个 明文 分 组 m; 作 加 密 运 算 , 具 体 过 程 如 下 。 

@ 获得 接收 公 钥 (e,n)。 

@ 把 消息 M 分 组 长 度 为 (L 二 logn) 的 消息 分 组 M 二 mms*…m。 

@ 使 用 加 密 算法 c= 二 mi mod n(1 志 i 二?) ,计算 出 密 文 c 一 cucz ct。 

(3) 解密 过 程 : 

OO 将 密 文 c 按 长 度 L 分 组 得 c 一 cucz…c:。 

@ 使 用 私 钥 4 和 解密 算法 ;二 cf mod n(1 志 i 二 1) 计 算 m;。 

@ 得 明文 消息 Mpama*…m。 


@ RSA 是 第 一 个 实用 的 公 钥 密码 系统 ,是 目前 应 用 最 广泛 的 公 钥 密码 系统 。 后 来 ,三 位 发 明 者 在 2002 年 获得 
了 计算 机 领域 的 最 高 奖项 一 一 ACM 图 灵 奖 。 文献 见 R. Rivest, A. Shamir, L. Adleman (1978). A Method for 
Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM 21(2): 120-126。 
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解密 算法 的 正确 性 证 明 如 下 。 
cz modn 三 m* modn 三 mn modn 
分 以 下 两 种 情况 讨论 。 
(1) gcd(mi,n) 二 1。 由 Euler 定理 ,得 
mr® =1 modn, mr =1 modn, mr" =m: modn 


于 是 cd mod xm mod n。 

(2) gcd(zai 7) 天 1。 由 于 2 一 户 。 gvgcd(misn)|n, 所 以 gcd(mi,n) 二 p 或 g。 

不 妨 设 gcd(n,mi) 二 p,plmi, 邻 mi; 一 sp ,1 三 s 二 gq。 

O@ gcd(mi,g) 二 1, 由 Fermat 定理 可 得 mm =] mod g, 于 是 (mf1)**7? 二 ] mod g， 
即 me'2=] mod qd。 

@ 另外 ,由 plmi, 得 m” 三 0 三 m; mod 户 , 故 m* =m;: mod p。 

由 外 .@, 且 gcd(p,g) 二 1; 由 中 国 剩余 定理 ,m* 三 m; mod n, 于 是 ,df mod n 三 m; mod n。 

综合 (1) 和 (2), 有 cf mod nn 三 m; mod n。 又 mi 过 n, 故 m; mod n 二 mi。 画 

例 3.7 取 p=11,g 二 13, 那 么 n= 二 p，g==11* 13==143,g9(n) 二 (p 一 1)(g 一 1) 二 120， 
选取 e 二 17, 满 足 gcd(e,p(Cz)) 一 gcd(17,120) 一 1。 

使 用 扩展 的 Euclid 算法 计算 d 一 e 一 一 113 mod 120, 所 以 公 钥 为 (ne) 一 (143,17)， 
私 钥 为 d 一 113。 

假设 对 明文 m 二 24 进行 加 密 , 密 文 为 (三 m* 寺 24" 三 7 mod 143。 密 文 c=7 经 公开 信 
道 发 送 到 接收 方 后 ,接收 方 用 私 钥 4 二 113 对 密 文 解密 : m 三 c 三 7 三 24 mod 143, 从 而 
恢复 明文 。 


3.3.2 CRT 在 RSA 中 的 应 用 


1. 利用 CRT 进行 运算 加 速 
解密 者 在 计算 交 一 民 (mod nn) 的 过 程 中 ,可 以 分 别 计算 m= 二 (mod p) 和 mm 二 cA (mod gq)。 
然后 利用 CRT 计算 出 mm。 
例 3.8 计算 312”(mod 667)。 
解答 ” 令 z==312* 解 密 者 知道 667 一 23。29, 所 以 计算 等 价 于 求解 同 余 式 组 
人 三 a mod 23 


TX 三 as mod 29 
利用 模 重 复 平方 法 (将 在 3. 3. 3 小 节 介 绍 ) ,得 到 al 二 312* (mod 23) 二 8,as 二 312* 
(mod 29) 一 4。 再 利用 CRT, 有 
Mi = 29,Mi! = 4 (mod 23),M: = 23,Mzl 一 一 5 (mod 29) 。 
Xx 三 4. 29.8 十 (一 5) .23 .4 一 468 (mod 667) 
思考 3.4 为 什么 CRT 只 能 对 解密 加 速 , 不 能 对 加 密 加 速 。 
解密 需要 知道 的 分 解 , 即 需要 知道 p.g. 有 nn 一 pg。 只 有 解密 者 知道 p,q。 
另外 ,因为 解密 可 以 加 速 ,并 且 加 密 的 速度 对 用 户 体验 的 影响 可 能 更 大 ,所 以 很 多 情 
形 下 RSA 加 密 密 钥 e 较 解密 密 钥 d 小 。 
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2. 利用 CRT 进行 低 加 密 指数 攻击 
如 果 加 密 密 钥 中 加 密 指数 e 很 小 ,如 e 二 3, 设 明文 为 mn, 密 文 c< 寺 m? mod ”如果 闷 较 
小 , 则 c 有 可 能 小 于 nn, 则 mod n 操作 未 起 作用 , 故 可 对 c 直接 开 3 次 方 得 到 mw。 如 果 mm 
较 大 ,mod n 操作 起 了 作用 ,虽然 不 能 直接 开 方 ,仍然 有 可 能 得 到 mx。 假 设 有 3 个 用 户 接 
收 痛 , 模 数 分 别 为 m ,ns ,ns。 设 明文 为 m, 密 文 分 别 是 
cl 三 03 modm 
cz Sm’ mod ns 
ca Sm’ mod ns 
一 般 地 ,gcd(nion) 了 1,i 了 j,i,jE11,2,3) ;否则 可 通过 gcd(ni,nj) 得 到 nn;,n; 的 分 
解 ( 从 而 泄露 了 p,q), 于 是 由 中 国 剩 余 定理 ,可 从 三 个 密 文 同 余 式 求 出 m? mod mnzns。 
由 于 此 时 0 二 ms? 三 mnzns ,可 直接 对 ms 开 立 方 得 到 m。 
推 而 广 之 ,车 加 密 指数 为 e, 则 得 到 相同 明文 的 e 个 密 文 即 可 由 该 攻击 方法 恢复 出 明 
文 。 因 此 ,同一 消息 加 密 后 发 送 给 多 个 实体 时 (车 此 时 的 加 密 指数 相同 ) ,不 要 使 用 小 的 加 
密 指数 。 


3.3.3” 模 重复 平方 算法 


RSA 加 密 和 解密 时 都 需要 计算 模 血 。 平凡 的 求 模 宪 方法 在 笑 指 数 较 大 时 耗 时 非常 
大 。 因 此 ,寻求 快速 求 模 寡 的 算法 对 于 RSA 的 加 密 解 密 效 率 至 关 重 要 。 模 重复 平方 (也 
称 为 平方 乘 ) 算 法 可 以 加 快 计算 模 笑 的 速度 。 下 面 介绍 该 算法 。 

要 计算 c= 二 m* mod n, 不 妨 设 e 的 二 进 制 表示 为 

e =er-12* 1! 十 er-22* 习 十 … 十 e121 十 eo 
二 2(2(*"*(2(2(e41) 十 ep-z) 十 )…) 十 e1) 十 eo 


于 是 
c =m’ mod 7 
=m tt te mod n 
(C0 (Me )27724-2 em )27725 ) mm® mod n 
Le 
Sy 
从 表达 式 可 以 看 到 ,如 果 e; 二 1, 则 m 即 模 将 需要 平方 ,并 且 反 复 进行 ,因而 称 为 “ 模 
重复 平方 法 ”。 
思考 3.5 e 一 9,13,m* mod n 如 何 计算 。 
mm? = Mtlo0Dz mY = md 
= ml +0°2+0°21 1 = ml +H240°2 1 
= (ml me me Ym = (CC ml me ml 
= (mm ) ?mm = (Cm )?m!)? ms? )?m} 


根据 这 一 表达 式 ,可 以 设计 计算 模 笑 的 快速 算法 。 
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算法 3.1 模 重 复 平方 (平方 乘 ) 算 法 ,计算 c, 这 里 c 一 ze mod n。 
输入 : mm, 寡 次 e, 模 ，。 
输出 : 模 寡 的 结果 c。 


Square-and-Multiply (m,e,n) 
c=1; 
for i=k-1to0 
{ 

c=cz mod n; 

If(ei==1) cce*emmodn; 
} 
Returnc 


} 


可 以 看 到 ,在 算法 中 , 当 i 二 k 一 1 时 , 即 首次 进入 循环 时 ,总 满足 条 件 er- 一 1,c 一 1， 
m mod n。 然 后 ,每 次 进入 循环 后 先 平方 ,从 。 的 高 位 向 低位 考察 , 若 该 位 为 1, 则 乘 上 m; 
否则 不 乘 。 最 后 一 次 进入 循环 ,;=0 时 , 若 eo 一 1, 则 乘 上 mm; 否 则 不 乘 。 

例 3.9 计算 9726s53 mod 11413。 

解答 3533 一 (110111001101)*,z2 一 9726 , 表 3. 1 给 出 了 计算 过 程 。 


表 3.1 模 重复 平方 法 的 计算 过 程 


z ei c 

11 | 1* X9726 一 9726 (mod 11413) 

10 1 9726: X9726 一 2659 (mod 11413) 
9 0 2659: 一 5634 (mod 11413) 

8 1 56342 X9726 一 9167 (mod 11413) 
v ! 9167? X 9726 一 4958 (mod 11413) 
6 1 4958* X9726 二 7783 (mod 11413) 
5 0 7783: 一 6298 (mod 11413) 

4 0 6298? 一 4629 (mod 11413) 

3 1 46292 X 9726 一 10185 (mod 11413) 
2 1 10185* X9726 一 105 (mod 11413) 
1 0 105 一 11025 (mod 11413) 

0 1 11025? X9726 一 5761 (mod 11413) 


思考 3.6 计算 过 程 中 有 几 次 平方 ? 几 次 乘法 ? 
模 平方 运算 有 12 次 , 模 乘 法 运算 有 8 次 。 平 均 而 言 ,有 logse 次 模 平方 运算 和 约 
0. 5logze 次 , 模 平方 和 模 乘法 均 视 为 模 乘法 运算 , 则 总 计算 次 数 约 为 1. 5logze 次 模 乘法 ， 
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最 多 不 超过 2log:e 次 模 乘 法 运算 。 

算法 的 效率 决定 了 RSA 加 密 和 解密 是 否 实 用 。 下 面 给 出 一 个 较 严 格 的 算法 分 析 。 
首先 来 看 几 个 基本 模 运 算 的 效率 , 即 在 ZZ, 中 的 运算 ,假定 ”为 一 个 ! 比特 的 整数 (1 二 
logzn) ,0 三 mi ,ms 三 n 一 1。 设 c 为 一 个 正 整 数 ,结果 如 表 3. 2 所 示 。 


表 3.2 基本 模 运算 的 时 间 复 杂 度 


运 算 时 间 复 杂 度 运 算 时 间 复 杂 度 
(mtm:) mod n OD (mmz) modn Ol) 
(m—m:) mod n OD (Gm)! modn O(C2) 


下 面 分 析 模 重复 平方 算法 (算法 3. 1) 的 效率 ,有 次 循环 ( 即 指数 e 的 二 进 制 位 数 )， 
每 次 循环 中 总 要 执行 一 次 平方 运算 ( 视 为 模 乘 ) ,或 者 加 上 一 次 的 模 乘 , 故 一 次 循环 执行 两 
次 模 乘 或 一 次 模 乘 。A 次 循环 最 多 2k 次 模 乘 。 根 据 表 3. 2 所 示 模 乘 的 时 间 复 杂 度 为 
OC ) ,1 为 模 n 的 长 度 ( 即 /二 logsn) , 故 总 时 间 复 杂 度 为 OOA2 ) 。 另 外 ,通常 e<n, 故 ki， 
于 是 时 间 复 杂 度 为 O(B) 二 O((logsn)?)。 因 此 ,RSA 的 加 密 ( 或 解密 ) 都 是 在 关于 明文 
(或 密 文 ) 的 比特 长 度 的 多 项 式 内 完成 。 

另外 ,由 于 模 重 复 平方 算法 的 循环 中 模 乘 的 次 数 等 于 加 密 密 钥 e 的 二 进 制 表示 中 “1” 
的 个 数 , 故 选择 二 进 制 表示 中 “1” 较 少 的 那 种 加 密 密 钥 。 将 会 加 快 RSA 加 密 的 速度 。 例 
如 ,e 二 2* 十 1, 循 环 中 只 有 2 次 模 乘 。 


[1] 求解 同 余 方 程 : 
(1) 177x 三 14(mod 21) (2) 128zx 三 833(mod 1001) 
(3) 247 三 42(mod 30) (4) 577x 三 87(mod 105) 
(5) 90x=21(mod 429) (6) 987zx 三 610(mod 1597) 
[2] 求解 2* 圭 x? (mod 3)。 
[3] 写 出 一 般 (&,6)((k,26) 二 1) 的 仿 射 密码 加 密 解 密 公式 ,并 对 明文 cipher 进行 加 
密 解 密 
[4] 编写 程序 实现 对 明文 cipher 的 二 7,6 二 6 的 仿 射 加 密 和 解密 。 
[5] 计算 21””"” (mod 1309) (提示: CRT 十 Euler 定理 ) 。 
[6] 求解 同 余 方程 组 : 
三 1(mod 4) 
37 三 1(mod 11) 
ly 4 nl 2) (2) 
57 三 7(mod 13) 
ZX 三 3(mod 5) 


三 2(mod 5) 217z 二 35(mod 37) 


人 ZX 三 1(mod 6) C4) 19z 二 15(mod 29) 
三 3(mod 7) 13z 二 25(mod 63) 
二 0(mod 11) 23z 三 31(mod 87) 


战 死 
韩信 


In, 


密 文 。 


函数 
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[7] 编写 程序 实现 中 国 剩余 定理 (CRT) ,以 韩信 点 兵 为 例 (韩信 带 1500 名 兵士 打仗 ， 
400 一 500 人 ,站 3 人 一 排 ,多 出 2 人 ;站 5 人 一 排 ,多 出 4 人 ;站 7 人 一 排 ,多 出 6 人 。 
马上 说 出 人 数 为 1049。 

[8] 写 出 计算 22 (mod 47) ,23 (mod 71) 的 过 程 .并 编写 模 重复 平方 法 程序 ,输入 为 
7 输出 为 z"(mod m)。 利 用 该 程序 对 手动 计算 的 结果 进行 验证 。 

[9] RSA 加 密 公 和 钥 为 e 二 53,n 二 31 X37, 计 算 私 钥 , 计 算 明 文 m= 二 (1101), = 二 13 的 


[10] 编写 程序 实现 310 十 进 制 位 ( 约 102bit) RSA 公 钥 密码 系统 (可 使 用 纽约 大 学 的 
库 NTL)。 
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”二 次 同 余 式 和 平方 剩余 


第 3 章 讨论 了 一 次 同 余 式 , 本 章 讨论 二 次 同 余 式 。 
本 章 重点 是 平方 剩余 的 判定 ,Legendre 符号 及 其 计算 方法 。 难 点 是 Rabin 公 钥 密码 系统 。 


FP 二 次 同 余 式 和 平方 剩余 


二 次 同 余 式 的 一 般 形式 为 
az’ 二 br 十 c 三 0 (mod m) 
其 中 ， 
Q& 天 0 (mod m) 
因为 正 整数 m 有 素 因子 分 解 式 m 王 ph pz…p% ,所 以 二 次 同 余 式 等 价 于 同 余 式 组 
ar’+hrtc=0 (mod ph) 


ar’+bhbr+t+c=0 (mod pe) 
因此 ,只 需要 讨论 模 为 素数 寡 p* 的 同 余 式 
az’+hr+c=0 (modp), pa 
通过 配方 ,可 以 进一步 变形 为 
(2az 十 0 三 外 一 4ac (mod pp’) 


令 y 一 2az 十 ,有 
y 三 Pdac (mod p°) 
因此 ,重点 关注 以 下 形式 的 二 次 同 余 式 , 即 
Xx’ 三 a (mod p°) 
定义 4.1 设 浆 为 正 整 数 , 若 同 余 式 
ZX 二 a (modm),(a,m)=1 

有 解 , 则 称 a 为 模 m 的 平方 剩余 (quadratic residue, 也 叫 作 二 次 剩余 ) ;否则 称 a 为 模 m 
的 平方 非 剩余 Cquadratic non-residue, 二 次 非 剩 余 ) 。 

思考 4.1 对 于 m 王 2, 判断 某 个 数 是 否 为 模 2 的 平方 剩余 是 平凡 的 。 

下 面 主要 考虑 模 奇 素数 p 的 平方 剩余 。 

例 4.1 求 模 7 的 平方 剩余 。 

解答 ”通过 穷 举 法 ,可 计算 出 

二] (mod7) 2 二 4 (mod7) 3 三 2 (mod 7) 
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=2 (mod7) 5:=4 (mod7) 6:=1 (mod7) 
于 是 ,1,2,4 是 模 7 的 平方 剩余 ,3,5,6 是 模 7 的 平方 非 剩余 。 
通过 观察 ,发 现在 计算 时 可 以 “成 对 ”计算 , 即 只 需要 计算 一 半 即 (p 一 1)/2 个 数 即 可 。 
1 1 (mod 7); 2 =4 (mod 7); 3 =2 (mod 7); 
6 二 (1)’* 二 1 (mod 7); 5:=(—2)*=4 (mod7); 4:=(—3)’=2 (mod7)。 
例 4.2 求 模 17 的 平方 剩余 。 
解答 ”结果 见 表 4. 1。 
表 4.1 例 4.2 用 表 


党 | 1,16 2,15 | 3,14 | 4,13 | 5,12 6,11 | 7,10 8,9 


a 三 x:(mod 17) 1 4 9 16 8 2 15 13 


模 17 的 平方 剩余 为 1,2,4,8,9,13,15,16; 平 方 非 剩余 为 3,5,6,7,10,11,12,14。 


通过 观察 可 以 发 现 ,平方 剩余 的 个 数 是 简化 剩余 。 -1 ed 
系 元 素 个 数 的 一 半 。 2 与 | 

一 般 地 ,有 以 下 结论 : J 与 -下 

定理 4.1 在 素数 模 p 的 一 个 简化 剩余 系 中 , 恰 有 2 
(p 一 1)/2 个 模 p 的 平方 剩余 , (p 一 1)/2 个 平方 非 
剩余 。 

在 给 出 证 明之 前 , 先 看 定理 示意 图 (图 4.1), 左 边 -2 4 


为 简化 剩余 系 ,右边 为 平方 。 可 以 看 到 ,由 于 简化 剩余 -1 1 
系 * 成 对 ”计算 ,计算 出 的 平方 剩余 个 数 刚好 为 简化 剩 ， 
余 系 元 素 个 数 的 一 半 。 注 意 ,图 4. 1 只 是 示意 图 ,映射 
后 的 具体 位 置 是 分 散 的 ,这 里 主要 强调 数量 为 一 半 。 
证 明 取 模 jp 的 最 小 简化 剩余 系 ,这 里 成 对 放置 


帮 一 一 光志 是 ee 
i te 2 


sd st PE PO 2 
图 4.1 定理 4.1 的 示意 图 
则 a 是 模 p 的 平方 剩余 , 当 且 仅 当 


so 6 £3+1) = 


a 2 Ps 2 
(与 | st mod py 


2 2 
由 于 (一 让 ?三 产 (mod p), 所 以 a 模 p 的 平方 剩余 当 且 仅 当 
a= (人 (2 mod p) 
又 当 i 关 j,1<i,j 志 (jp 一 1)/2 时 ,六 闫 jr (mod p), 所 以 模 p 的 平方 剩余 个 数 为 (p 一 1)/2， 
模 p 的 平方 非 剩 余 的 个 数 为 p 一 1 一 (p 一 1)/2 二 (p 一 1)/2。 国 
根据 定理 4. 1, 可 以 给 出 一 个 算法 输出 奇 素数 娟 的 平方 剩余 和 平方 非 剩 余 。 
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思考 4.2 如何 根据 定理 4. 1 给 出 一 个 算法 计算 输出 奇 素数 p 的 平方 剩余 和 平方 非 
剩余 。 

例 4.3 求 方程 下 : y’ 寺 x 十 fz 十 2 (mod 7) 的 zx,y 坐标 在 [0,6] 区 间 的 点 。 

解答 方程 其 实 是 一 个 椭圆 曲线 方程 。 由 于 模 为 7, 对 z= 二 0,1,2, 3, 4, 5, 6, 分 
别 求 y。 
=0,y =2 (mod 7), y= 3,4 (mod 7) 
=1,y 三 4 (mod 7), y = 2,5 (mod 7) 
二 2,y’ 三 5 (mod 7), 无 解 
3,y =4 (mod7), y=2,5 (mod7) 
=4,.y =0 (mod 7), y=0 (mod7) 
5,y’ 三 6 (mod 7)，, 无 解 

X=6,y 三 0 (mod 7), y= 0 (mod 7) 

根据 该 结果 ,可 以 画 出 椭圆 曲线 图 (图 4. 2) ,这 个 看 上 去 像 个 “围棋 盘 ” 的 图 中 ,如 果 
3 天 0, 则 > 坐标 是 关于 7/2 对 称 的 (关于 椭圆 曲线 密码 的 详 述 请 见 第 9 章 )。 思 考 一 下 , 超 
过 这 个 “棋盘 ”的 点 会 是 什么 样子 ? 


BR BS SS AN AN 


一 一 一 


| 
oiillil, 
图 4.2 椭圆 曲线 方程 已 :% 熏 忆 十 z 十 2 (mod 7) 上 所 有 的 点 


例 4. 1 和 例 4. 2 对 平方 剩余 的 判定 主要 依靠 穷 举 法 ,下 面 给 出 Euler 判定 法 则 ,从 理 
论 上 给 出 了 判别 a 是 否 为 模 p 的 平方 剩余 的 方法 。 该 方法 将 平方 剩余 的 判定 问题 转化 
成 计算 问题 。 

定理 4. 2(Euler 判定 法 则 ) 设 p 是 奇 素数 ,(a,p) 二 1, 则 

(1) a 是 模 p 的 平方 剩余 的 充 要 条 件 是 

a =1 (mod p) 
(2) a 是 模 p 的 非 平方 剩余 的 充 要 条 件 是 
a =— 1 (mod p) 
当 且 仅 当 a 是 模 p 的 平方 剩余 时 ,二 次 同 余 式 
Zz’ =a (mod p), (a,p)=1 
有 两 个 解 。 
证 明 ” 先 证 明 (1)。 先 证 明 必要 性 。 假定 a 圭 y* mod p,a 记 0, 故 y 隆 0 mod p。 于 是 
根据 Fermat 定理 ,(y )2 24 后 =] mod p。 
再 证 充分 性 。 假 定 a ”二 1 mod p, 设 6 为 一 个 模 p 的 原 根 ( 见 第 5 章 ), 于 是 a 二 
b' mod 户 , 对 于 某 个 正 整 数 守 成 立 。 有 a" 二 0% 二 0% 22 mod p, 由 于 6 的 阶 ( 见 
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第 5 章 ) 为 p 一 1, 因 此 必 有 (p 一 1)|1(i(p 一 1)/2)。 因 此 ,i 是 偶数 ,于 是 a 的 平方 根 为 
tb’? mod p。 

下 面 证 明 (2)。 由 于 oa 入 :二 1 (mod p)。a 亿 二 1 (mod p) 或 者 a = 一 1 (mod p)。 
由 (1) 可 知 (2) 成 立 。 国 

例 4.4 8 是 不 是 模 17 的 平方 剩余 ? 

解答 。8%'-?2 圭 83 二] (mod 17) ,因此 ,8 是 模 17 的 平方 剩余 。 

例 4.5 137 是 不 是 模 227 的 平方 剩余 ? 

解答 ”计算 137%*-?2 寺 137 (mod 227), 利 用 模 重复 平方 法 ,得 到 该 值 为 一 1, 因 
此 ,137 是 模 227 平方 非 剩 余 。 

推论 4.1 设 p 是 奇 素数 ,(a1,p)= 二 1,(as,p) 二 1, 则 

(1) 如 果 w ,as 都 是 模 p 的 平方 剩余 , 则 aas 是 模 p 的 平方 剩余 。 

(2) 如 果 w ,as 都 是 模 的 平方 非 剩余 , 则 aias 是 模 p 的 平方 剩余 。 

(3) 如 果 ai 是 模 p 的 平方 剩余 ,as 是 模 p 的 平方 非 剩 余 , 则 aia* 是 模 p 的 平方 非 
剩余 。 

显然 ,定理 4. 2 可 以 转换 成 一 个 算法 。 虽 然 该 算法 是 简单 的 ,但 是 有 利于 加 深 对 概念 
的 理解 。 


算法 4.1 Euler 判定 方法 计算 a 是 否 为 模 p 的 平方 剩余 。 
输入 : 整数 a,(a,p) 二 1, 奇 素数 p。 
输出 : a 是 平方 剩余 或 者 a 是 平方 非 剩 余 。 


int Euler (a,p) 
{ 
int ex=Square-and-Multiply (a, (p-1)/2,p); // 调 用 模 重 复 平方 子 函数 
Ef (ex==1} 
. 
printf ("a 是 平方 剩余 "); 
Return 1; 
} 
else 
{ 
printf ("a 是 平方 非 剩 余 "); 
Return -1; 
和 
} 


4.2 Legendre 符号 及 其 计算 方法 


当 力 不 太 大 时 ,可 以 利用 算法 4. 1 判定 某 个 数 是 否 为 平方 剩余 。 但 是 , 当 p 比较 大 

时 ,该 方法 的 计算 量 较 大 ,就 不 实用 了 。 下 面 引入 Legendre( 勒 让 德 ) 符 号 ,给 出 一 种 判定 
模 p 平方 剩余 的 更 有 效 方法 。 
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定义 4.2 设 p 是 素数 ,a 是 整数 ,Legendre 符号 定义 为 
1， ”车 a 是 模 p 的 平方 剩余 
-人 车 a 是 模 p 的 平方 非 剩余 
0， 车 pla 
Legendre 符号 可 理解 成 一 个 判定 函数 , 函数 的 返回 值 为 1, 一 1,0。 通 过 引入 
Legendre 符号 ,然后 研究 其 计算 规则 ,就 类 似 于 得 到 了 一 些 子 函数 可 以 调用 ,从 而 使 整个 
判定 过 程 简化 。 
算法 4. 2 的 Legendre 函数 计算 Legendre 符号 的 结果 ,这 一 计算 过 程 直接 从 定义 给 
出 ,是 平凡 的 ,主要 目的 是 帮助 初学 者 加 深 对 Legendre 符号 这 一 概念 的 理解 。 


算法 4.2 Legendre 函数 计算 Legendre 符号 的 结果 。 
输入 : 整数 4, 素数 p。 
输出 : Legendre 符号 的 值 。 


int Legendre (int a, int p) 


{ 


if (asp==0) //pla 
Return 0; 
else 
{ 
if (Euler (a,p)==1) // 调 用 Euler 判定 函数 
Return 1; 
else 


Return -1; 


|, 


其 实 , 如 果 不 要 求 定理 4. 2 中 的 (a,p) 二 1, 并 且 将 Legendre 符号 引入 ,定理 4.2 可 以 
叙述 如 下 。 
定理 4.3(Euler 判定 法 则 ) ” 设 p 是 奇 素数 , 则 对 任意 整数 a, 有 


(#) = a (mod p) 


定理 4. 3 有 两 个 好 处 : 将 Legendre 符号 的 计算 转变 成 模 笑 计 算 问 题 ;同时 这 一 计算 
结果 可 用 来 判断 a 是 否 为 模 p 的 平方 剩余 。 


算法 4.3 计算 Legendre 符号 (由 定义 给 出 ,通过 模 索 计算 的 平凡 方法 ) 。 
输入 : 整数 a, 奇 素数 p。 

输出 : Legendre 符号 的 值 。 

int L(int a, int p) 

. 


Return Square-and- Multiply (a, (p-1)/2,p); // 调 用 模 重 复 平方 函数 
} 
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下 面 讨论 如 何 给 出 Legendre 符号 的 快速 计算 方法 。 
由 定理 4.3, 可 得 到 以 下 推论 (这 些 推论 有 利于 Legendre 符号 的 快速 计算 ) 。 
推论 4.2 设 p 是 奇 素数 , 则 
LE 二 | 二) 守 
wm 3)=» 2 (= 功 备 。 
由 推论 4. 2 可 以 给 出 以 下 计算 子 函 数 的 定义 ,帮助 初学 者 理解 。 


int L ONE (const int a=1, int p) 
{ 
Return 1; 


} 


int L MinusOne (const int a=-1, int p) 
{ 


=! 
Return(-1) 2 ， 


所 


推论 4.3 设 户 是 奇 素数 ,那么 
2)- 1， 若 p 夺 1 (mod 4) 
[5 = 车 pp 三 3 (mod 4) 
证 明 根据 Euler 判别 法 则 ,有 
二 11] = (一半 
( 子 ) (一 1) 
若 p 三 1 (mod 4), 则 存在 正 整数 人 ,使 得 p 二 4k 十 1, 于 是 (p 一 1)/2 二 2k。 从 而 
( 汪 ) (—D)*=(—1)*=1 


p 
车 p 三 3 (mod 4), 则 存在 正 整 数 k, 使 得 p= 二 4k 十 3, 于 是 (p 一 1)/2 二 2k 十 1。 从 而 
= 2k4+1 2k+1 
( 3 ) (一 1]) (一 1) 1 国 


定理 4.4 设 p 是 奇 素数 , 则 

* 因 -3 

(= (人 

(3) 车 (a,p) 二 1, 则 GS) 一 1。 

思考 4.3 读者 能 和 否 给 出 一 些 例子 说 明 上 述 定理 。 
(1) 是 因为 a 二 a 十 p (mod p)。 

(2) 可 根据 定义 得 到 。 


(3) 很 明显 ,x’ 寺 a? (mod p) 有 和 解 。 
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定理 4.5( 高 斯 引 理 ) 设 p 为 奇 素数 ,p ,设计 (p 一 DD 个 数 ,24,…, 方 (p 一 Dn 
模 的 最 小 正 余数 中 用 个 大 于 各 , 则 [ 王 ] 一 (一 D”。 
证 明 设 ai ,ares ( /一 言 (p 一 DD 一 吉 表示,24,…, 去 (p 一 Dn 中 小 于 各 的 所 有 


最 小 正 余数 ,bi ,bs ,… ,6 表示 ,24,…, 去 (p 一 Dn 中 大 于 如 的 所 有 最 小 正 余数 。 因 此 ， 


raeeodinp 一 bsp 一 扣 …sp 一 6 都 在 1 一 说 (p 一 1 之 间 , 它 们 是 两 两 互 不 相等 的 。 这 


是 因为 ,车 a 一 p 一 , 则 a 十 刀 一 p, 即 存在 整数 zy,1 达 x,y 达 证 (p 一 1), 使 zn 十 yn 二 
0(mod p)。 由 于 pn, 故 plz 十 y, 这 是 不 可 能 的 。 所 以 
ose 


而 
， 人 
Tea: I[p—6= DD" TIArcmod 三 CD" 23+)m 时 (mod p) 
i=1 j=1 k=1 
区 二 = 一 D"Cmod 及. 因此,[ 郑 ]= (一 D"。 国 


例 4.6 当 p=5,n 二 8 时 , 因 1， 8 三 3(mod 5),2。，8 三 1(mod 5), 故 六 一 1, 所 以 
Se 
人 (= 1s 

当 p= 二 7,n 二 2 时 , 因 1* 2 二 2(mod 7),2*2 圭 4(mod 7),3，2 夺 6(mod 7) , 故 罗 一 2， 
所 以 ( 子 ]=( 一 D*== 一 1。 

定理 4.6 设 p 是 奇 素数 , 则 


(二 = (= 
p 


证 明 当 ， 一 2 时 ,下 述 二 (0 一 D) 个 数 2,2 .2,2。3,…,2 "J 落 在 1~p 之 间 , 车 


人 p p pip mo ipl_ip 
5 <2k<p, 则 钙 <k<< 久 ,所 以 mm [z] [4 ]. 

设 p=8a 十 r,r= 二 1,3,5,7, 则 m 一 2a 十 [ 亏 ] 一 []=0:1:1:0Cmod 2), 即 当 p 二 
土 1(mod 8 时 ,( 儿 ]=( 一 D" =1=( 一 Dt-0; 当 p 三 土 3(mod BD 时,( 邓 ]=( 一 D"= 


一 1 一 (一 Di 。 国 
例 4.7 证 明 2 是 模 17 的 平方 剩余 。 
证 明 根据 定理 4.5, 有 


(起 ] (一 TD 一 (一 D)22 一 1 


17 
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因此 ,2 是 模 17 的 平方 剩余 。 国 
由 定理 4.5 可 以 得 到 以 下 子 函 数 (虽然 简单 ,以 加 深 理解 ) 。 


int L TWO(const int a=2, int p) 
{ 
[2 
Return(-1) 5 ; 


定理 4.7( 二 次 互 反 律 ) 设 p,g 是 互 素 的 奇 素数 , 则 
em 


了 
证 明 设 wGi=1,2,…0).5O 一 1.2,…,20) 如 定理 4.5 证 明 中 所 示 , 令 4 一 >)ai， 


i=1 
p=l 


- 了 
6 = 2)b;; 设 kg = gp + rn ,qe = [1].°<" sz 人 112.0 LF) i 
J k=1 


由 高 斯 引 理 的 证 明知 a;,p 一 b; 遍历 1,2， 了 一 1), 故 


上 m 
Cp 1) 1 十 2 十 …… 十 二 D = Dat dp—b)=at+mp—b 
s=1 1=1 


Cp—D/2 (p—D/2 Cp—D/2 (p—D/2 


2 
Fla 2 一 2 nt Dn-pd) tatb 
t=1 k=1 k=1 大 


Cp—D/2 


2 
Ela D=p Dg—mp+26 
k=l1 


由 于 言 (Pp 一 D 是 整数 ,g 一 1 是 偶数 (g > 2), 所 以 由 上 式 可 得 


Cp—D/2 (p—D/2 


m 三 BS qr = 2 [时 ] (moa 2 
一 1 k=1 


大 


故 
oa 
(2)= (一 D” 一 (一 D [?] 


同 理 ， (#)= (DB [4] ,于 是 ,(4](]= CD"= DE + 4]. 


, (p—1)/2 k (gq—1)/2 pl | 二 
下 面 证 明 2 [多 ]+ 和 [4] eR 


事实 上 ,如 图 4.3 所 示 , 平 面 内 以 (0.0), (0. 挟 ]. (名 0) gh 


[全 . 呈 ] 为 顶点 的 矩形 内 整 点 (两 坐标 部 为 整数 ) 个 数 为 2 
ph 


2 一 1 如 ,9 | 的 对 -4 三 
让, 而 从 点 (0.0 到 点 [全 , 号 ] 的 对 角 线 一 型 下 方 的 三 角 。 图 4 3 一 次 友和 
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《8 一 1)/2 (g—D)/2 
形 内 整 点 的 个 数 为 > [ 竺 ] ,对 角 线 上 方 的 三 角形 内 整 点 个 数 为 [ 生 ] . 故 上 式 成 
立 , 从 而 定理 得 证 。 国 
将 二 次 互 反 律 写成 一 个 子 函数 ,可 以 得 到 : 


int L MutualInverse (p,q) 
{ 


nt 
Return(-1) 7 7 L FAST(q,p); 


} 


二 次 互 反 律 提供 了 Legendre 符号 的 递归 计算 方式 。 这 里 调用 的 L_FAST(g,p) 是 一 
种 快速 计算 Legendre 符号 的 方法 ,将 在 下 面 介绍 。 
例 4.8 证 明 3 是 模 17 的 平方 非 剩余 。 


证 明 
3 ulm (17 = 于 
( 童 ] = 一 2 旦 时 二] = ( 寻 )}= 一 2=-1 
因此 ,3 是 模 17 的 平方 非 剩 余 。 国 
例 4.9 判断 同 余 式 xz’ 三 137 (mod 227) 是 否 有 解 。 


解答 ”因为 227 是 奇 素数 ,根据 定理 4.4, 有 


EEC 


2 2272—1 226.228 
( 玄 ) (= (=) 1 
5 su (227 2 #1 
园 (一 1) £ (党 ] 全 ) 《有 
1 
因此 , (起 ?] == 剖 


故 同 余 式 x 三 137 (mod 227) 无 解 。 
由 上 述 的 定理 和 推论 ,可 以 得 到 以 下 计算 Legendre 符号 的 快速 算法 4. 4。 


算法 4.4 Legendre 符号 的 快速 计算 方法 。 
输入 : 奇 素数 p 宇 3, 整数 a, 且 0<a<=p。 


输出 ， 勒 让 德 符号 人 ]。 


int L FAST(int a, int p) 

(1) 如 果 a=0, 则 返回 0。 

(2) 如 果 a=1, 则 返回 1。 

(3) 令 a=2*al， 其 中 ,aa 为 奇数 (为 简化 ,假设 a; 为 奇 素数 ,否则 算法 做 相应 修改 即 可 ) 。 

(4) 如 果 。 是 偶数 , 则 令 s<1; 和 否则, 如 果 p=1 或 7 (mod 8)， 则 令 s< 一 1; 如 果 p=3 或 者 5 (mod 
8)， 则 令 s 一 -1。 

(5) 如 果 p=3 (mod 4) ，ai=3(mod 4)， 则 令 s 一 - s。 

(6) 令 pi 一 pmod aa。 

(7) 如 果 ai=1， 则 返回 s; 否 则 返回 s* L_FAST (pi ,ai)。 
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思考 4.4 
(1) 算法 4.4 中 步骤 (1) 说 明了 什么 情况 ? (提示 : pla) 
(2) 步骤 (4) 当 。 为 奇数 时 ,为 什么 当 p 为 模 8 余 1 或 7 时 ,s 二 1? (提示 : 定理 4.5) 
(3) 步骤 (5) 中 为 什么 要 变 符号 ? (提示 : 定理 4.6 若 p 二 4 十 3,(p 一 1)/2 二 2k 十 1) 
(4) 步骤 (7) 中 返回 值 说 明 该 算法 递归 的 ? ( ;* 2) ) 
例 4.10 判断 下 面 的 同 余 式 是 否 有 解 ? 

ZX’ 三 一 1 (mod 365) 
解答 365 可 分 解 成 两 个 素数 的 乘积 , 即 365 一 5。73, 原 同 余 式 等 价 于 

Xx! 三 一 1 (mod 5) 

人 三 一 1 (mod 73) 

因为 


故 同 余 式 组 有 解 , 根 据 CRT, 同 余 式 组 中 的 每 个 同 余 式 均 有 两 个 解 ,两 个 同 余 式 的 两 个 解 
分 别 配对 ,于 是 产生 4 个 同 余 式 组 ,4 个 同 余 式 组 的 解 即 为 原 同 余 式 的 解 。 因 此 , 原 同 余 
式 的 解数 为 4。 


723 Rabin 公 钥 密码 系统 


本 章 前 面 两 节 讨论 了 二 次 同 余 式 以 及 平方 剩余 的 判定 ,它们 在 密码 学 中 的 一 个 典型 
应 用 就 是 Rabin 公 钥 密码 系统 ?。 

该 公 钥 密码 体制 基于 一 个 困难 问题 , 称 为 平方 根 问题 。 

定义 4.3( 平 方 根 问题 ,也 称 为 SQROOT 问题 ) 给 定 一 个 合 数 n 和 a EQ,( 模 nn 的 
平方 剩余 集合 ) , 找 a 模 n 的 平方 根 ; 即 找到 一 个 整数 zx, 使 得 zx? 二 a mod n。 

但 是 ,如 果 知道 的 因子 p 和 9 ,那么 SQROOT 问题 就 很 容易 求解 。 方 法 是 先 求解 
a 模 p 和 模 g 的 解 ,然后 利用 中 国 剩余 定理 得 到 a 模 n 的 平方 根 。 

于 是 ,可 考虑 将 n 作为 公 钥 , 将 p 和 g 为 私 钥 。 

图 4.4 给 出 了 这 一 困难 问题 的 示意 图 。 


Wh y=x modn 


n=pg 
y=x modp 


y=x modg 
4.4 Rabin 利用 单 向 陷 门 函数 的 原理 示意 图 


@ Rabin 公 钥 密码 体制 是 1979 年 由 MIT 的 M. O. Rabin 在 其 论文 Digitalized Signatures and Public-Key 
Functions as Intractable as Factorization 中 提出 的 。 
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Rabin 公 钥 密码 系统 的 描述 : 


(1) 密 钥 的 产生 : 随机 生成 两 个 大 的 素数 p 和 g ,满足 pg 三 3 mod 4, 计 算 n 一 pg。 
n 为 公 钥 ,p,q 作为 私 钥 。 
(2) 加 密 : c= 二 m? mod n。 
(3) 解密 : 就 是 求 c 模 n 的 平方 根 , 即 解 x* 寺 c mod n, 该 方程 等 价 于 方程 组 
ZX’ 三 c (mod p) 
人 三 c (mod g) 


由 于 p 寺 g 二 3 mod 4, 可 容易 地 求 出 c 在 模 p 下 的 两 个 方程 根 , 即 


m=c*+ V4 mod p; m=p—c*t mod 力 
和 cc 在 模 g 下 的 两 个 方程 根 , 即 
mc VA mod g; m=g—c"+ Vt modg 
两 两 组 合 联 立 ,可 得 4 个 方程 组 , 即 
7 三 co mod p 7 三 旋 一 co+D4 mod p 
EA modg a modg 
m 三 c++ mod p mp—c*+ mod p 
i modg | modg 


利用 中 国 剩余 定理 求 得 4 个 m, 其 中 必 有 一 个 m 为 明文 。 通 常 可 以 通过 在 明文 中 
事先 引入 某 些 特征 (如 发 送 者 的 身份 证 号 .日 期 等 事先 约定 的 特征 ) 来 区 分 。 


对 该 密码 方案 的 解释 如 下 。 

思考 4.5 为 什么 取 p 夺 gq 三 3 mod 4? 

目的 是 为 了 能 快速 地 求 出 平方 根 。p 三 3 mod 4 时 ,z?=c mod p 的 平方 根 容易 求 出 。 

由 p 三 3 mod 4, 得 p 十 1 二 4, 即 (p 十 1)/4 是 一 个 整数 。 设 zx! 三 c mod p 的 根 为 y, 即 
yc mod p。 

c 是 模 p 的 二 次 剩余 , 故 c27 ?三 (y?)* ?二 yr! 三 1] mod p。 

于 是 ,有 


tl tl C3 
(ce)’ (3 )2 cr CD/ 


“Cc 三 cmodp 
故 cwt+DA 和 P= 是 方程 ZX!=c mod p 的 两 个 根 。 同 理 ,c**?4 和 ,ed 
方程 xz? 三 c mod d 的 两 个 根 。 


ZX’: 三 c (mod p) 


zx! =c (mod g)” 


思考 4.6 为 什么 解 z* 三 c mod 方程 等 价 于 解 方程 组 | 
下 面 证 明 一 个 一 般 的 结论 : 当 p,q 是 素数 ,n 二 pq 时 ,a 二 6 mod n 等 价 于 方程 组 
a 三 b (mod p) 
{ 三 b (mod g) 
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a 三 b (mod p) 
证 明 若 | 用 则 pl(a 一 ) ,gl (Ca 一 0) ,而 gcd(Cp ,9q) 一 1, 所 以 pq| (a 一 
a 三 b (mod g) 
b) ,BB ab mod pg 
反之 ,车 a 三 6 mod nn; 则 nl(a 一 6), 由 pln,gln, 得 pl(a 一 6),gl(a 一 6b), 即 
a 三 b (mod p) 国 
bE 和 二 6b (mod g) 
例 4.11 Rabin 方案 的 举例 。 假 设 私 钥 为 p 二 7,g 二 11(p,g 模 4 余 3), 公 钥 为 nn 二 
po 一 77, 明 文 罗 一 32, 则 密 文 为 c 一 m2 mod n 二 32?: mod 77 一 23。 下 面 分 析 解 密 密 文 23 的 
过 程 。m=Vc mod 77。 分 别 求 模 p,qg 的 平方 根 。 
23°+DA4 =2: 二 4 mod 7 
2344)4 三 1 三 1 mod 11 
23 模 7 和 模 11 的 平方 根 是 士 4 和 士 1, 然 后 利用 中 国 剩余 定理 ,计算 得 到 23 模 77 的 
4 个 平方 根 , 即 士 10, 士 32 (mod 77) ,4 个 可 能 的 明文 是 10,32,45,67。 在 实际 中 ,通过 预 
先 在 明文 中 加 入 识别 特征 (例如 ,约定 添加 特殊 标识 符号 到 明文 的 末尾 ,或 者 将 明文 重复 
一 次 再 连接 后 作为 新 的 明文 , 即 m= 二 mm) ,可 以 从 4 个 可 能 的 明文 中 选 出 正确 的 明文 。 
由 于 Rabin 加 密 算法 十 分 简单 ,下 面 重点 解释 解密 算法 。 
定理 4.8 设 p,q 是 形 为 4k 十 3 的 不 同 素数 ,如 果 整 数 a 满足 
的- 全 =-: 
则 同 余 式 x? 三 a (mod pq) 有 解 , 即 
= 二 (asd (mod p)). (gq !'(mod p))g 
土 (at dA(mod gqg))» (p (mod g))* p (mod pg) 
证 明 二 次 同 余 式 x* 志 a (mod pg) 等 价 于 同 余 式 组 , 即 


2 


. 三 a (mod p) 


ZX’: 三 a (mod g) 
因为 (#) 一 (#) 二 1, 所 以 由 思考 4. 5, 同 余 式 刀 三 a (mod p) 有 解 ,其 解 为 


元 二 主 CeDACEaod 力 ) 
同样 地 , 同 余 式 xz? 三 a (mod g) 有 人 解 , 其 解 为 
立 三 十 aetD4(mod g) 
根据 中 国 剩余 定理 , 同 余 式 组 的 解 为 
工 一 士 (act4(mod 加 ))。(q (mod 思 )) 。 
土 (a dA(mod g)). (p (mod gq)). p (mod pq) 
这 即 为 同 余 式 x? 寺 a (mod pq) 的 解 。 国 
根据 定理 4. 8 给 出 Rabin 解密 的 算法 如 下 。 
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算法 4.5 Rabin 解密 算法 。 
输入 : 密 文 c, 私 钥 p,q(p,q 均 为 4k 蔬 的 素数 , n=pq)。 
输出 : 明文 mm。 


RabinDecrypt (c,p,q) { 
(1) 利用 扩展 的 欧 几 里 得 除法 , 求 整数 s，t, 使 得 sp+tq=1。 

(2) 计算 u<c®*9/ mod p。 

(3) 计算 vc%0/ mod q。 

(4) 计算 m 一 (utqtvsp) modn ”//t 即 定理 4.8 中 qq! (mod p), s 即 p! (mod q)。 
(5) 计算 ms 一 (utq-vsp) mod n。 

(6) 同 余 式 w 三 c (mod n) 的 4 个 根 是 m,n-m,m:，n-m;，, 确定 其 中 哪 一 个 根 为 明文 。 
} 


思考 4.7 Rabin 加 密 可 否 视 为 RSA 加密 的 特例 ? 

其 实 ,Rabin 加 密 不 是 RSA 加 密 的 特例 。 因 为 RSA 加 密 中 的 私 钥 e 必须 有 gcd(e， 
9(70)) 二 1, 而 gln) 二 (p 一 1) (gq 一 1) 为 偶数 , 故 e 必 为 奇数 。 但 是 ,Rabin 加 密 中 使 用 的 寡 
次 是 2, 为 偶数 。 


1] 求 模 p 二 13,23,31,37,47 的 平方 剩余 和 平方 非 剩余 。 

2] (1) 分 别 求解 以 n= 二 一 2,n 二 一 3 和 7 一 5 为 二 次 剩余 的 素数 p 的 一 般 表达 式 。 
(2) 分 别 求解 以 n= 一 2,n 二 一 3 和 7 一 5 为 二 次 非 剩余 的 素数 p 的 一 般 表 达 式 。 
[3] (1) 求 以 3 为 其 二 次 剩余 ,以 一 3 为 其 二 次 非 剩 余 的 全 体 素数 。 

(2) 求 以 一 3 为 其 二 次 剩余 ,以 3 为 其 二 次 非 剩余 的 全 体 素数 。 

(3) 求 以 2 为 其 二 次 剩余 、 以 3 为 其 二 次 非 剩余 的 全 体 素数 。 

[4] 求 满足 方程 玉 ;y’ 志 x’ 一 3 十 1 (mod 7) 的 所 有 点 。 


[5] 计算 Legendre 符号 [ 芝 】,( 线 (3 3 
[6] 编写 程序 Legendre 符号 .验证 题目 [3] 的 结果 。 
[7] 计算 下 列 同 余 式 的 解 和 解数 。 

(1) 2 =32* 二 2 二 0(mod 7)。 

(2) 4zx’+21zx—32 三 0(mod 141) 。 

(3) zx’ 二 8x 一 13 三 0(mod 28)。 

(4) 37x’?+18zx—25 三 0 (mod 28) 。 

(5) 3x*—x’: 十 2x? 一 26z 十 1 竺 0(mod 11)。 

(6) 3x’—12zx—19=0(mod 28) 。 
[8] 判断 同 余 式 是 否 有 解 。 

ZX 三 7 (mod 227), xz’ = 2 (mod 401 . 281) 

[9] 证 明 : 设 p 是 一 个 素数 ,对 于 任意 整数 a, 均 有 a? 寺 a(mod p)。 
[10] 编写 程序 实现 2 位 的 Rabin 公 钥 密码 系统 。 


S 辣 
笠 5“。 原 根 与 指数 


在 研究 了 平方 (二 次 ) 剩 余 之 后 ,下 面 讨论 :次 剩余 。 
讨论 使 得 同 余 式 
a 三 1 (mod m) 
成 立 的 整数 n。 

这 里 主要 关心 最 小 的 正 整数 e, 因 为 找到 了 e, 则 e 的 倍数 均 为 上 式 的 解 。 另 外 ,由 
Euler 定理 可 知 , 当 (a,m) 二 1 时 ,有 a”” 寺 1 (mod m)。 于 是 ,关心 一 个 问题 ,就 是 这 个 最 
小 的 正 整数 。 会 不 会 就 是 pg(m)? 什么 情况 下 就 是 g(m)? 

本 章 的 重点 是 原 根 、 阶 及 其 计算 方法 ;难点 是 DH 密 钥 协商 和 ElGamal 公 钥 密码 
系统 。 


5.1 原 根 和 阶 的 概念 


定义 5.1 设 闪 >1 是 整数 ,a 是 正 整数 ,(a,m) 一 1, 则 使 得 
a’ 二 1 (mod m) 
成 立 的 最 小 正 整 数 工 叫 作 a 模 m 的 阶 (order)。 记 为 ord, (a)。 
例 5.1 设 整数 m 二 7, 计 算 a 二 1,2,3,4,5,6 的 阶 。 
解答 1=1 (mod 7); 2 三 ] (mod 7); = mod 7)5 
=(=3=l (nod Se=(=27=1 (mod 7 6 :=(= Ds=l (nod 7) 
计算 结果 见 表 5. 1。 


表 5.1 例 5.1 计 算 结 果 


a 1 2 3 4 5 6 


ordn (a) h 3 6 3 6 2 


容易 看 到 ,由 于 glm) 一 pg(7) 二 6, 于 是 ,ord, (a) 中 最 大 为 6。 

定义 5.2( 原 根 ,primitive root) ”如果 ord, (a) 二 gm), 则 a 叫 作 mm 的 原 根 。 

思考 5.1 原 根 的 英文 可 能 初学 者 觉得 很 难 理解 ,如 果 称 为 “生成 元 (generator)” 可 
能 更 容易 理解 这 个 “本 原 (primitive)” 的 含义 , 即 可 以 生成 群 中 其 他 所 有 元 素 的 “本 原 ” 元 。 

容易 看 到 例 5. 1 中 ,因为 3 和 5 的 阶 为 pg(7), 所 以 3 和 5 为 原 根 。 
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从 生成 元 的 角度 更 加 容易 理解 ,但 需要 群 的 概念 。 群 (Z/7Z)* 中 元 素 的 个 数 为 
9(7) 一 6, 因 为 3 和 5 的 阶 为 (7), 故 3 和 5 可 以 生成 群 (Z/7Z) * 中 的 任意 元 素 ( 即 1~6)。 
下 面 首 先 考察 3( 图 5. 1) 。 
3 二 3 (mod7) 3: 二 2 (mod7) 3;=6 (mod7) 
34=4(mod7) 3; 二 5 (mod7) 3’=1 (mod7) 
容易 看 到 这 是 一 个 循环 群 ,3 可 以 生成 群 中 的 元 素 1 一 6。 


32=2(mod7) 3!=3(mod7) 


33=6(mod 7) 35= 1(mod 7) 


34=4(mod7) 35=5(mod7) 
图 5.1 3 作为 生成 元 生成 (Z/7Z)" 中 所 有 元 素 


再 来 考察 5。 
5! 三 5 (mod 7) 5 三 4 (mod 7) 5 三 6 (mod 7) 
5 二 2 (mod 7) 5 二 3 (mod 7) 5° 二 1 (mod 7) 
除了 3 和 5 外 ,其 他 都 不 是 原 根 ,因为 其 阶 均 小 于 pg(7), 即 无 法 生成 “所 有 "元素 ,“ 回 
到 原点 ”1 的 过 程 过 快 ,导致 只 能 生成 群 中 的 “部 分 "元素 。 
考察 2( 图 5.2)。 
2! =2 (mod 7) 2 =4 (mod 7) 2 =1 (mod 7) 


21=2(mod 7) 


23=1(mod7) 


22=4(mod7) 
5.2 2 只 能 生成 (Z/7Z)* 中 3 个 元 素 


容易 看 到 ,2 无 法 生成 3,5,6。 

看 图 5. 1 和 图 5.2, 就 容易 理解 为 什么 原 根 的 阶 为 gC) 了 。 

下 面 看 一 个 m 不 为 素数 的 例子 。 

例 5.2 设 整数 m 二 14, 计 算 a 二 1,3,5,9,11,13 的 阶 ,指出 其 中 的 原 根 。 

解答 ”1' 寺 1] (mod 14) 3 三 一 ] (mod 14) 5 寺 一 ] (mod 14) 
9 二 ] (mod 14) -11 二 ] (mod 14) 13: 志 1] (mod 14) 
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计算 结果 见 表 5. 2。 
表 5.2 例 5.2 计算 结果 


a 1 3 5 9 11 13 
ordn (a) 1 6 6 3 3 2 


由 于 gpg(14) 二 pg(2)，g(7) 二 pg(7) 二 6, 因 此 原 根 为 3 和 5。 

下 面 的 定理 给 出 了 计算 阶 的 一 个 算法 依据 。 

定理 5.1 设 m 记 1 是 整数 ,a 为 整数 ,(a,m) 二 1, 则 整数 4 使 得 

a 二 1 (mod m) 
成 立 的 充 要 条 件 是 
ordn(a) | d 

证 明 ” 先 证 明 充分 性 。 如 果 ord, (a)1d, 则 存在 整数 ,使 得 d 二 k，ord。, (a)。 因 

此 ,有 
a = (a ) =1 (mod m) 
再 证 明 必要 性 。 如 果 ord,, (a) 1d 不 成 立 , 则 存在 整数 g,r 使 得 
d= ord,(a)* g++r 0<=r<=ord,(a) 


从 而 ,有 
ad =a’ (a ® ) = a (mod m) 
又 因为 
a 三 1 (mod m) 
于 是 有 


a' 三 1 (mod m) 
这 与 ord,(a) 的 最 小 性 矛盾 。 于 是 有 ord, (a)1d。 国 
推论 5.1 设 m 二 1 是 整数 ,a 为 整数 ,(a,m) 二 1, 则 ord, (a)| gm)。 
证 明 根据 Euler 定理 ,有 
ar = 1 (mod m) 
由 定理 5. 1, 于 是 ord,, (a)| pg(m)。 国 
由 推论 5. 1 可 知 ,可 以 从 g(xm) 中 寻找 ord, (a)。 
例 5.3 求 整 数 5 模 17 的 阶 ordii(5)。 
解答 ”因为 pg(17) 二 16, 只 需要 对 16 的 因数 4 二 1,.2,4,8,16 计算 5* (mod 17) ,看 是 
否 等 于 1。 因为 
5! 二 5 (mod 17) 
5 二 8 (mod 17) 
5 三 64 三 13 三 一 4 (mod 17) 
58 = (一 4): = 16 = 一 1 (mod 17) 
5% = (一 1D)2 =1 (mod 17) 
所 以 5 是 模 17 的 原 根 。 
有 了 原 根 的 概念 后 ,可 以 给 出 指数 (index) 的 概念 。 
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定义 5.3 设 g 是正 整数 m 的 原 根 .车 gcd(a.m) 二 1, 则 称 同 余 式 
g” 三 a (mod m) 

的 唯一 整数 解 z-(1 夺 x 三 gp(m)) 为 a 模 m 以 g 为 底 的 指数 ,也 称 为 指标 或 离散 对 数 , 记 为 
Inds,n(a) ,或 简 记 为 Indsa .2 

离散 对 数 问题 是 一 个 计算 上 困难 的 问题 ,目前 还 没有 找到 有 效 的 算法 。5. 3 节 和 5.4 
节 会 给 出 基于 该 困难 问题 构造 密码 系统 。 第 11 章 会 讲解 离散 对 数 算法 。 

例 5.4 设 交 =7, 由 例 5.1 知 ,3 为 原 根 。 计 算 指数 表 。 

解答 ”计算 指数 表 见 表 5. 3。 


表 5.3 例 5.4 计 算 结 果 


a 1 2 | 3 | 4 | 5 6 


Indsa 6 2 1 4 5 3 


思考 5.2 “ 阶 ” 和 “指数 ”的 主要 区 别 是 什么 ? 
容易 看 到 , 阶 与 模 m 和 整数 a 有 关 , 指 数 则 与 模 mm, 整数 a 及 底 ( 原 根 g) 有 关 。 阶 可 
以 用 来 判断 原 根 , 指 数 主要 用 来 计算 元 素 相对 于 原 根 的 离散 对 数 。 
定理 5.2( 指 数 定理 ) ” 若 g 是 模 m 的 一 个 原 根 , 则 g* 硅 g* (mod m) 当 且 仅 当 zz 二 
y (mod g(m)), 
证 明 假设 x 三 y (mod pg(m2)), 则 z= 二 y 十 kp(m),kEZ, 所 以 
gg (mod m) 
= g*(g”™ )*(mod m) 
= g*1*(mod m) 
= g* (mod m) 
必要 性 留 作 练 习 。 国 
这 个 证 明和 RSA 的 解密 过 程 有 相似 之 处 。 
定理 5.3 设 g 是 模 素数 p 的 一 个 原 根 , 且 gcd(a.p) 二 1, 则 g* 寺 a (mod p) 当 且 
仅 当 
k=indea (mod p—1) 
定理 5.4 设 冯 是 有 原 根 g 的 正 整 数 ,a 与 5 是 与 m 相互 素 的 整数 , 则 
(1) 车 b 二 a (mod m), 则 indib 寺 indsa (mod g(m))。 
(2) inds 10 (mod 9(m))。 
(3) inds (a * 6)Qindza +indsb (mod 9g(m))。 
(4) indsa* 圭 k* indsa (mod qg(m)),k 是 一 个 正 整 数 。 
定义 5.4 设 妈 是 大 于 1 的 整数 ,a 是 与 m 互 素 的 整数 ,如 果 n 次 同 余 式 
ZX" 三 a (mod m) 


有 人 解 , 则 a 叫 作 模 m 的 n 次 剩余 ;否则 .a 称 为 模 m 的 n 次 非 剩余 。 


@ 有 些 书籍 在 英 译 方面 把 ord 译 为 “指数 ”, 而 用 “指标 ”表示 离散 对 数 。 本 书 倾向 于 ord 译 为 “ 阶 ”的 缩写 ,“ 指 
数 ” 和 “指标 ”与 离散 对 数 等 同 ,缩写 为 ind。 
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定理 5.5 设 m 是 大 于 1 的 整数 ,g 是 模 m 的 原 根 ,a 是 与 mr 互 素 的 整数 , 则 同 余 式 
Xx" 二 a (mod m) 
有 解 的 充 要 条 件 是 
(n.9(m)) | indea 
且 在 有 解 的 条 件 下 ,解数 为 (2,p(Czz) ) 。 
证 明 巾 同 余 式 x" 寺 a (mod mm 和 (am) 一 1, 可 得 (z,m) 王 1, 于 是 以 g 为 底 的 x 的 
对 模 m 的 指数 存在 , 设 为 y, 即 x 寺 g* (mod m), 同 余 式 可 转化 为 


g” 三 a(mod m) 
由 定理 5.4 知 
ny 三 indsa (mod 9(m)) 

这 是 关于 y 的 一 次 同 余 式 ,根据 定理 3. 1, 其 有 解 的 充 要 条 件 是 (2,p(z))| indsa , 且 解 数 
为 (n,g(m))。 图 

例 5.5 求解 同 余 式 7 三 16 (mod 17) 所 有 解 。 

解答 ”两边 取 底 为 5 模 17 的 指数 ,得 到 

indi (4*) ind;16 8 (mod 16) 
即 
inds(4*) 三 x， ind;4 二 127x 二 8 (mod 16) 

因此 


12z 三 8 (mod 16) 
利用 一 次 同 余 式 的 解法 (定理 3.1), 因 为 (12,16) 二 4, 因 此 12x 三 8 (mod 16) 有 4 个 
不 同 余 的 解 ,为 
Zz 三 14,2,6,10 (mod 16) 
这 即 为 同 余 式 人 “三 16 (mod 17) 的 所 有 解 。 
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不 是 所 有 的 模 n 都 有 原 根 ,下 面 的 定理 给 出 存在 原 根 的 条 件 。 

定理 5.6 模 m 的 原 根 存在 的 充 要 条 件 是 mm 二 2.4,p" ,2p" ,其 中 p 是 奇 素数 ,a 是 一 
个 正 整数 。 

定理 的 证 明 包括 以 下 几 项 。 

(1) 每 个 素数 都 有 原 根 。 

(2) 奇 素数 的 索 都 有 原 根 。 

(3) 2 的 寡 次 中 ,只 有 2 和 4 有 原 根 。 

(4) 被 两 个 或 者 更 多 素数 整除 的 整数 中 ,只 有 那些 奇 素数 的 寡 次 的 2 倍 的 整数 才 有 
原 根 。 

定理 5.7 设 交 >1.p(Cz) 的 所 有 不 同 素 因子 是 qi ,q :…,w: 则 g 是 模 m 的 一 个 原 
根 的 充 要 条 件 是 
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gr El (modm) i= 1,%…,k 

证 明 ” 先 证 明 必要 性 。 设 g 是 模 m 的 一 个 原 根 , 则 g 模 m 的 阶 是 g(m)。 但 是 
0=~ pm)/gqgi < pm) i= 1,%,k 

由 原 根 的 定义 知 
Bra 1 (modm) i= 1,°…,k 

再 证 明 充 分 性 。 

车 g 模 m 的 阶 e 二 glm), 则 根据 定理 5.1 的 推论 ,有 ely(m) ,于 是 存在 一 个 素数 g， 

使 得 g | (glm)/e)。 于 是 ,根据 整除 的 定义 ,存在 一 个 整数 ,有 


ji glm) 
e 
即 
本 pm) 
2 
于 是 
Br = (g)" = 1(mod m) 
这 与 假设 矛盾 。 图 


上 述 定理 给 出 了 求 原 根 算法 的 基础 。 
例 5.6 求 41 的 一 个 原 根 。 
解答 9?(41) 一 40 一 22。5, 素 因子 为 2 和 5。9?(41)/2 一 20,p(41)715 一 8。 因 此 ,只 需 
要 验证 gs ,g” 模 m 是 否 同 余 于 1。 对 于 2,3,… 逐 个 验算 : 
2=10 (mod4l) 2” 二 1 (mod4l) 3 二] (mod 41) 
4 二 1]8 (mod 41) 4” 三 1 (mod41) 5: 二 18 (mod 41) 
5% 二 1 (mod 41) 6 二 10 (mod41) 6”=40 (mod 41) 
因此 ,6 是 模 41 的 原 根 。 
定理 5.8 设 >1 的 整数 ,a 为 整数 且 (a,m) 一 1,d 宇 0 为 整数 , 则 
ad = a:(mod m) 
的 充 要 条 件 是 
d 三 k (mod ord, (a)) 
证 明 根据 Euclid 除法 ,存在 整数 g,r 和 g ,~ 有 
d= ordn(a)gi+r 0<r< ord,(a) 
= ord,(a)g 十 rm 0<r <ord,(a) 
又 a 二 1] (mod m) ,于 是 


dd SandYg" Sa"(mod m) 


at ah Wa" =a" (mod m) 
必要 性 。 若 at 寺 a (mod mm) , 则 a 二 a” (mod m) ,于 是 一 ,有 d 寺 k(mod ord, (a))。 
以 上 步 步 可 逆 , 知 充分 性 。 国 
例 5.7 因为 整数 2 模 7 的 阶 为 ord;(2) 二 3,2015 志 2 (mod 3), 因 此 ， 
2 = 90mm0d 7) 
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在 2.1 节 中 例 2.2 曾经 给 出 一 个 实际 的 应 用 例子 。 
定理 5.9 设 mm 记 1 的 整数 ,a 为 整数 且 (a.m) 王 1,d 宇 0 为 整数 , 则 


ordm (a) 
(ord, (a),d) 


思考 5.3 ”如 何 利 用 图 5. 1 和 图 5. 2 给 出 一 个 对 上 述 定 理 的 直观 解释 。 
如 图 5. 3 所 示 ,通俗 地 说 ,以 原 根 3 为 度量 ,2 寺 3: (mod 7), 视 为 2“ 行走 ”1 步 相 当 于 
3“ 行 走 ”2 步 ,于 是 对 于 2 而 言 ,“ 行 走 ” 一 周 6 步 就 需要 6/2 一 3 步 , 即 ord;(2) 一 3。 


ord»n (ad) 一 


2!=2(mod7) ordn(a) 
5=2mod7) 31=3(mod7) | "Cord(o), TD 


ord(3) 6 


ord)(2)=ord(33)= 


-6_ 
(ord;(3),2) (6,2) 2 


33=6(mod 7) 35=1(mod 7) 


23= 1(mod 7) 


31=4mod7) 35=5(mod7) 


22=4mod7) 


图 5.3 帮助 初学 者 理解 定理 的 直观 解释 


推论 5.2 设 办 >1 是 整数 ,g 是 模 m 的 原 根 ,d 宇 0 为 整数 , 则 8 是 模 m 的 原 根 当 且 
仅 当 (d,g(m))==1。 
推论 5.3 设 m 二 1 是 整数 ,m 有 gp(g(m)) 个 不 同 的 原 根 。 
例如 , 设 素数 p= 二 47, 则 存在 g(47 一 1) 二 22 个 模 47 的 原 根 。 
目前 还 没有 一 种 方法 可 以 预知 一 个 给 定 素数 p 的 最 小 原 根 ,对 pg(p 一 1) 个 原 根 在 模 
2 的 最 小 剩余 系 中 的 分 布 也 知之 其 少 。 
定理 5.9 给 出 了 从 一 个 原 根 求 其 他 原 根 的 算法 基础 。 
例 5.8 已 知 5.9 是 41 的 原 根 , 求 41 的 所 有 原 根 。 
解答 由 定理 5.9 知 ,(d,.9p(41)) 王 1 时 .ord (g”) 二 ordu(g), 因 此 , 当 4 遍历 模 
9(41) 一 40 的 简化 剩余 系 , 即 
WE A yh Pet Pr ry Rt) de het 
共 p(yg(41)) 二 16 个 数 时 ,6* 遍历 41 的 所 有 原 根 , 即 
6 二 6 (mod41) 6 二 =1]l (mod41) 6’=29 (mod41) 6 二 19 (mod 41) 
61 二 28 (mod 41) 6 三 24 (mod 41) 67 三 26 (mod 41) 6 二 34 (mod 41) 
62 二 35 (mod 41) 6” 寺 30 (mod 41) 6” 二 12 (mod 41) 6” 22 (mod 41) 
6 二 13 (mod 41) 63 =17 (mod 41) 67 =15 (mod 41) 6* =7 (mod 41) 
综合 定理 5.7 和 定理 5.9, 构 成 了 求 原 根 的 算法 基础 。 


算法 5.1 原 根 算法 , 输出 给 定 素 数 的 所 有 原 根 。 
输入 : 素数 模 m 以 及 mm 一 1 的 素 因子 分 解 一 1 二 pi ps … pi 。 
输出 : m 的 所 有 原 根 。 
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GetPrimitiveRoot () 


(1) 随机 选择 一 个 数 a,2<a<m-1 
(2) 对 二 从 1 到 执行 以 下 计算 : 
计算 be 一 am ba (moq m); 
如 果 b=1 则 转 到 步骤 (1) ; 
(3) 对 da 从 1 到 m-1, 执 行 以 下 计算 : 
车 gcd(d, m-1)=1, 则 输出 as (mod m) ; 
} 


思考 5.4 根据 定理 5.9 给 出 求 阶 表 的 算法 。 输 入 为 素数 模 和 原 根 ,输出 为 阶 表 。 


算法 5.2 输出 阶 表 的 算法 。 
输入 : 素数 模 mm, 原 根 a。 
输出 : 阶 表 。 


GetOrder () 


{ 
对 主 从 1 到 m-1 执行 以 下 计算 : 

Return a’! (mod m), (m-1)/gcd(m-1,i); 
} 


定理 5.10 设 m 记 1 是 整数 ,a 为 整数 且 (a,m) 二 1, 则 : 

(1) 设 a7! 使 得 a-'a 三 1 (mod m), 则 ord, (a™!) 二 ord, (a)。 

(2) 若 b 二 a (mod m), 则 ord (6b) 二 ord, (a)。 

证 明 (1) 因为 (a )" 中 二 (an)71 圭 ] (mod m) 

因此 ,ord, (a™')|ord, (a)。 

同 理 可 证 ord, (a)| ord, (a ), 于 是 有 ord, (a™') 二 ord, (a)。 

(2) 车 5b 二 a (mod m), 则 

Do = ao = 1(mod m) 

于 是 ord, (5)|ord(a)。 同 理 可 证 ord(a) |ord,(0) ,于 是 ord, (45) 二 ordn (a)。 画 

该 定理 结论 (1) 也 可 以 从 图 5. 3 中 有 直观 地 解释 ,3 和 5 互 为 道 元 ,5 相当 于 “ 反 着 走 ” 
了 一 圈 ( 图 5.4)。 因 为 5“ 走 "一步 到 5,5“ 走 ”两 步 到 4, 依 此 类 推 ,5“ 走 ”6 步 到 1。 所 以 ,5 
的 阶 为 6。 


54=2(mod7) 55=3(mod 7) 


53=6(mod 7) 55=1(mod 7) 


5=4mod7) 5'=5(mod7) 
图 5.4 帮助 初学 者 理解 的 对 定理 5. 10 的 直观 解释 
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同 理 ,2 和 4 互 为 逆 元 。 读 者 也 可 以 画 个 类 似 的 示意 图 。 
下 面 的 定理 将 原 根 、 阶 以 及 简化 剩余 系 等 概念 联系 到 一 起 。 
定理 5.11 设 m>1 是 整数 ,a 为 整数 且 (a,z) 一 1, 则 
1 = a al, ,ae 
模 m 两 两 不 同 余 。 特 别 地 , 当 a 是 模 m 的 原 根 , 即 ord,, (a) 二 gm) 时 ,这 glmm) 个 数组 成 
模 m 的 简化 剩余 系 。 
证 明 反 证 法 。 如 果 ord, (a) 个 数 中 有 两 个 数 模 m 同 余 , 则 存在 整数 0<k,l 志 
ord, (a) 使 得 
a* a'(mod m) 
不 妨 设 k&>1, 则 由 (a,m) 二 1 和 定理 2.4, 得 到 
a*! 三 1 (mod m) 
但 是 0 三 k,! 三 ord,, (a) ,这 与 ord(a) 的 最 小 性 矛盾 。 因 此 , 原 结 论 成 立 。 
当 a 为 原 根 时 , 即 ord,(a) 王 pg(m) 时 ,共有 PCz) 个 数 
1 = a’,al ,ear™ 
且 模 m 两 两 不 同 余 , 由 定理 2.8 知 ,这 p(w) 个 数组 成 模 m 的 简化 剩余 系 。 图 
在 下 一 章 将 看 到 , 模 m 的 简化 剩余 系 构成 一 个 乘法 群 ,其 生成 元 为 wa 生成 了 该 群 
中 的 所 有 元 素 。 这 个 群 其 实 还 是 一 个 循环 群 。 


5.3 Diffie-Hellman 密 钥 协商 


原 根 和 指数 ,尤其 是 循环 群 的 原 根 ,在 密码 学 中 有 重要 的 应 用 。 例 如 ,基于 离散 对 数 
问题 的 Diffie-Hellman 密 钥 协商 协议 ,以 及 基于 DH 密 钥 协商 协议 的 ElGamal 公 钥 加 密 
问题 的 提出 : 
在 定义 2.7 的 注解 中 曾经 指出 对 称 密码 中 加 密 密 钥 和 解密 密 钥 是 相同 的 ,因此 ,对 称 
密码 的 困难 之 处 有 以 下 两 点 。 
(1) 密 钥 的 管理 。 对 称 加 密 中 加 密 解 密 双 方 使 用 相同 的 密 钥 ,因此 每 一 对 加 密 方 和 
解密 方 就 需要 一 个 密 钥 。 而 且 , 密 钥 必须 保密 ,因此 对 密 钥 的 存储 和 管理 难度 增 大 。 
(2) 当 加 密 方 和 解密 方 在 不 同 地 理 位 置 时 ,通信 双方 如 何 确定 一 个 秘密 的 密 钥 ,或 者 
是 通信 发 送 方 如 何 将 密 钥 传递 给 通信 接收 方 ,都 不 是 很 容易 的 事情 。 
思考 5.5 对 于 共有 个 通信 方 的 两 两 通信 ,需要 多 少 密 钥 ? 
对 称 密码 需要 的 密 钥 数量 : 对 单个 个 体 而 言 ,需要 保存 n 一 1 个 秘密 密 钥 ;对 总 体 而 
,需要 保存 n(n 一 1)/2 个 秘密 密 钥 。 
定义 3.2 曾经 指出 , 公 钥 密码 使 用 公开 的 公 钥 进行 加 密 和 保密 的 私 钥 进行 解密 。 需 
要 的 密 钥 数量 : 对 单个 而 言 ,需要 保存 n 个 公 钥 和 一 个 私 钥 , 对 总 体 而 言 ,需要 保存 7 个 
公 钥 入 个 私 钥 。 所 需 密 钥 的 数量 减少 ,而 且 需 要 秘密 保存 的 密 钥 数 量 大 量 减 少 。 
因此 ,需要 解决 的 一 个 安全 问题 是 : 在 公开 信道 上 如 何 协商 一 个 秘密 密 钥 ,用 于 后 续 
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的 对 称 密码 加 密 通信 。 . 
W. Diffie 与 M. Hellman 利用 离散 对 数 问题 的 困难 性 ， 二 

在 1976 年 提出 了 Diffie-Hellman 密 钥 协商 协议 。 Sg 
首先 看 离散 对 数 问题 中 的 某 种 单 向 性 (图 5. 5)。 5.5 离散 对 数 问题 的 
设 G 是 生成 元 为 g 的 阶 循环 群 , 则 鞭 风 外 示 洛 因 


(1) 给 定 整数 ,计算 元 素 g* 二 y 是 容易 的 。 
(2) 给 定 G 中 元 素 y ,计算 整数 zx(1 三 zn) ,使 得 g* 二 y 通常 被 认为 是 困难 的 (is 
believed to be hard) 。 
“被 认为 是 困难 的 ”是 指 目前 公认 是 困难 的 ,也 就 是 说 ,目前 没有 高 效率 (如 多 项 式 时 
间 复 杂 性 ) 的 算法 来 解决 这 一 问题 ,但 没有 人 能 够 证 明 其 就 是 困难 的 。 
下 面 给 出 一 个 较 严 格 的 定义 (需要 用 到 第 6 章 中 群 的 概念 ) 。 
定义 5.5 乘法 群 Z; 上 的 离散 对 数 问题 (discrete logarithm problem, DLP): 给 定 
一 个 素数 p ,乘法 群 Z; 上 的 生成 元 g ,以 及 Z; 上 的 随机 选取 的 元 素 y ,寻找 整数 x (2 三 
ZX 三 p 一 2) ,使 得 y 二 g* mod p。 这 个 整数 zx 记 为 logsy , 称 为 离散 对 数 。 易 知 ,Z; 中 元 素 
的 个 数 为 p 一 1, 即 {1,2,…,p 一 1)。 
Diffie-Hellman 密 钥 协商 协议 是 2 轮 协议 , 即 共有 两 个 消息 在 信道 中 传递 。 每 个 通 
信 方 发 送 一 个 消息 ,并 接收 一 个 消息 。 协 议 的 描述 如 下 ,如 图 5.6 所 示 。 
A B 
4 随机 选择 ae [2, p-2] 
计算 Y=g* modp 


8 随机 选择 be [2, p-2] 
计算 Yh=gs modp 


图 5.6 Diffie-Hellman 密 钥 协商 过 程 


(1) A 随机 选择 a E[2,p 一 2], 计 算 Y, 二 g* mod p. 将 Y, 发 送 给 B。 

(2) B 随机 选择 bE[2,p 一 2]. 计 算 Y, 一 g* mod p, 将 YY, 发 送 给 A。 

协议 交互 完成 后 ,A 方 以 Y,* mod p 为 密 钥 ,B 方 以 Y,* mod p 为 密 钥 。A 方 和 B 方 
之 间 的 后 续 通 信 可 以 使 用 这 个 密 钥 进行 加 密 。 

例 5.9 /一 41 是 一 个 素数 ,(Z/41Z)" 是 一 个 乘法 循环 群 ,生成 元 为 6。 

实体 A 生成 随机 整数 a 二 6, 计 算 Y, 二 6 mod 41 二 39, 将 7 发送 给 B。 

实体 B 生成 随机 整数 6 二 29, 计 算 Y, 一 6”mod 41 二 22, 将 Y, 发 送 给 A 。 

A 用 自己 的 a 和 收 到 的 双 计算: 22* (mod 41) 一 21。 

B 用 自己 的 5 和 收 到 的 Y。 计算 : 39”(mod 41) 一 21。 

协商 后 的 秘密 密 钥 是 21。 

为 了 对 这 个 例子 有 更 直观 的 理解 ,图 5.7 给 出 一 个 使 用 计算 机 代数 系统 软件 PARI 
作为 演示 。 

思考 5.6 为 什么 A 方 和 B 方 可 以 公开 地 协商 出 一 个 秘密 的 密 钥 ? 
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a jgp Iolx| 


Reading GPRC: /cygdrive/c/Program Files/PARI/.gpre ...Done. 


GP/PARI CALCULATOR Uersion 2.3.4 (released) 
i686 running cyguin (ix86/GMP-4.2.1 kernel) 32-bit version 
compiled: Jul 12 2008, gcc-3.4.4 (cygming special, gde 9.12, using dmd 6.125) 
(readline v5.2 enabled, extended help available) 


Copyright (C) 2999-2966 The PARI Group 


PARI/GP is free software, covered by the GNU General Public License, and 
lcomes WITHOUT ANY WARRANTY WHATSOEUER 


Type ? for help, \q to quit 
Type ?12 for how to get moral (and possibly technical) support 


9696669，primelimit = 599999 


图 5.7 对 Diffie-Hellman 密 钥 协商 ( 例 5. 9) 中 计算 过 程 的 演示 


A 方 计算 的 Ye mod p 等 于 Ys mod p。 这 是 因为 
Ye mod p= (gmodp)"modp=(g) modp 
Ys modp= (gmodp)modp=(g°) modp 
而 且 ,协商 的 过 程 是 公开 的 , 且 这 种 公开 的 过 程 是 安全 的 。 这 是 因为 : 由 于 离散 对 数 问 题 
的 困难 性 ,敌手 即使 知道 Y, ,也 不 能 求 出 a, 即使 知道 Y, ,也 不 能 求 出 6, 没有 a 或 者 0 , 敌 
手 无 法 计算 Ymod p 或 者 Ys mod p, 即 最 终 A 和 B 协商 出 来 的 秘 肯 。 
思考 5.7 为 什么 是 a€[2,p 一 2]? 
若 a 二 1, 则 YY 二 g* mod p 二 g,g 是 公开 的 ,于 是 敌手 可 以 从 Y, 推出 a; 若 a 二 p 一 1， 
则 YY, 二 g* mod pp 一 1 ,敌手 可 以 从 Y. 推出 a。 于 是 ,a 为 1 或 者 p 一 1 均 不 合适 。 


4 ”ElGamal 公 钥 密码 系统 


有 了 Diffie-Hellman 密 钥 协商 协议 的 基础 ,可 以 学 习 ElGamal 公 钥 加 密 系统 。 
ElGamal 公 钥 密码 系统 如 下 。 


(1) 密 钥 生成 ， 
用 户 A 随机 产生 一 个 大 素数 p 以 及 乘法 群 Z; 的 生成 元 g ,随机 选择 2<ap 一 2 
作为 私 钥 ,计算 于 一 g mod p。 

公 钥 为 (p,g,Y,) 

私 钥 为 a 
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B 完成 如 下 过 程 : 


计算 wu 二 g* modp 
密 文 为 : (u,v) 


A 解密 密 文 (u,v) 


(2) ElGamal 公 钥 密码 系统 加 密 过 程 : 
用 户 B 用 A 的 公 钥 加 密 消息 mm ,得 到 密 文 。 


随机 选择 ,2 二 kp 一 2 


‘v=mY,.: modp 


(3) ElGamal 公 钥 密码 系统 解密 过 程 : 


得 到 明文 ; m 二 v/w mod Pp 


ElGamal 加 密 : 


ElIGamal 解 密 : 


u 


y 
DH 密 钥 协商 协议 部 分 |+| 仿 射 加 密 部 分 


u=gtmodp v=mk 


m=vKmodp 


仿 射 加 密 部 分 为 什么 K 相 同 ? 
K=w modp=(g)’ modp 
K=(Y) modp=(g" modp 


思考 5.8 ”ElGamal 加 密 与 DH 密 钥 协 商 协 议 之 间 的 “神似 之 处 "在 哪里 ? 
ElGamal 加 密 是 一 种 公 钥 加 密 , 但 其 实质 上 是 对 称 加 密 中 的 仿 射 加 密 加 上 DH 密 钥 
协商 。 图 5. 8 给 出 了 一 个 示意 图 。 


这 里 K=(Y) modp 


这 里 K=w modp 


图 5.8 ElGamal 加 密 的 两 个 部 分 DH 密 钥 协 商 协议 和 仿 射 加 密 


解释 如 下 : 


ElGamal 加 密 后 密 文 有 两 个 部 分 (u,v) ,其 中 部 分 为 DH 密 钥 协商 协议 部 分 ,v 为 


实质 性 加 密 部 分 。 


(1) v 实质 性 加 密 部 分 为 仿 射 加 密 ,表示 为 


v=m*K 


这 里 , 令 KK 为 加 密 方 和 解密 方 DH 密 钥 协商 产生 的 密 钥 , 即 


K=(Y.) modp 


Y。 为 解密 方 的 公 钥 。 
(2) wu 为 DH 密 钥 协商 协议 部 分 , 即 


u=g:modp 


解密 方 A 利用 x 这 一 部 分 以 及 自己 的 私 钥 a ,可 以 生成 仿 射 加 密 中 用 到 的 天 , 即 


这 是 因为 


K=u modp 


K=uw modp=(g) modp=(g) modp= (Y) modp 
思考 5.9 解密 部 分 的 v/u* mod p 如 何 计 算 ? 
这 里 ,初学 者 容易 误解 为 “除法 ”, 其 实 是 乘 以 w 的 逆 元 。 有 
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B 完成 如 下 过 程 : 


计算 wu 二 g* modp 
密 文 为 : (u,v) 


A 解密 密 文 (u,v) 


(2) ElGamal 公 钥 密码 系统 加 密 过 程 : 
用 户 B 用 A 的 公 钥 加 密 消息 mm ,得 到 密 文 。 


随机 选择 ,2 二 kp 一 2 


‘v=mY,.: modp 


(3) ElGamal 公 钥 密码 系统 解密 过 程 : 


得 到 明文 ; m 二 v/w mod Pp 


ElGamal 加 密 : 


ElIGamal 解 密 : 


u 


y 
DH 密 钥 协商 协议 部 分 |+| 仿 射 加 密 部 分 


u=gtmodp v=mk 


m=vKmodp 


仿 射 加 密 部 分 为 什么 K 相 同 ? 
K=w modp=(g)’ modp 
K=(Y) modp=(g" modp 


思考 5.8 ”ElGamal 加 密 与 DH 密 钥 协 商 协 议 之 间 的 “神似 之 处 "在 哪里 ? 
ElGamal 加 密 是 一 种 公 钥 加 密 , 但 其 实质 上 是 对 称 加 密 中 的 仿 射 加 密 加 上 DH 密 钥 
协商 。 图 5. 8 给 出 了 一 个 示意 图 。 


这 里 K=(Y) modp 


这 里 K=w modp 


图 5.8 ElGamal 加 密 的 两 个 部 分 DH 密 钥 协 商 协议 和 仿 射 加 密 


解释 如 下 : 


ElGamal 加 密 后 密 文 有 两 个 部 分 (u,v) ,其 中 部 分 为 DH 密 钥 协商 协议 部 分 ,v 为 


实质 性 加 密 部 分 。 


(1) v 实质 性 加 密 部 分 为 仿 射 加 密 ,表示 为 


v=m*K 


这 里 , 令 KK 为 加 密 方 和 解密 方 DH 密 钥 协商 产生 的 密 钥 , 即 


K=(Y.) modp 


Y。 为 解密 方 的 公 钥 。 
(2) wu 为 DH 密 钥 协商 协议 部 分 , 即 


u=g:modp 


解密 方 A 利用 x 这 一 部 分 以 及 自己 的 私 钥 a ,可 以 生成 仿 射 加 密 中 用 到 的 天 , 即 


这 是 因为 


K=u modp 


K=uw modp=(g) modp=(g) modp= (Y) modp 
思考 5.9 解密 部 分 的 v/u* mod p 如 何 计 算 ? 
这 里 ,初学 者 容易 误解 为 “除法 ”, 其 实 是 乘 以 w 的 逆 元 。 有 
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v/uw mod p=v*u "modp=v*ur modp 
例 5.10 设 p=2579,g 二 2,d 二 765, 公 钥 为 Y= 二 2 mod 2579 一 949。 
加 密 明 文 m 二 1299, 秘 密 选择 一 个 随机 整数 k 二 853。 计 算 (u,v), 其 中 二 2 mod 
79 二 435,v 二 1299。949s5 mod 2579 二 2396, 即 密 文 为 (435 ,2396)。 
解密 时 ,明文 为 m 二 2396/435”” mod 2579 一 1299 
图 5.9 中 的 实验 给 出 了 计算 过 程 ,以 加 深 印 象 。 


mgp -| 口 | 义 | 


Reading GPRC: /cygdrive/c/Program Files/PRRI/.9prc ...Done 


GP/PARI CALCULATOR Ue! n 2.3.4 (relea 
i1686 runni Win (ix86/GMP-4.2.1 kernel) 
compiled: Jul 12 2008, gcc-3.4.4 (cygming special, gdc 6.1 9 dmd 6.125) 
(readline v5.2 enabled, extended help available) 


Copyright (C) 2000-2006 The PARI Group 


oftware, covered by the GNU General Public License, and 
WARRANTY WHATSOEUER 


Type ? for help, \q to quit 
Type ?12 for how to get moral (and possibly technical) support 


e : 40000060, primelimit = 599999 
44) gp > 2°853 %2579 
435 
45) gp > 1299x949“853 %2579 
2396 
45) gp > 435°765 %2579 
2424 
45) gp > 1/2424 %2579 
1989 
46) gp 》2396x1989 X2579 
1299 
46) gp 


图 5.9 对 ElGamal 公 钥 密码 系统 ( 例 5. 10) 中 计算 过 程 的 演示 


其 实 , 可 以 将 离散 对 数 问题 从 乘法 群 推广 到 一 般 循环 群 (循环 群 的 定义 见 6.4 节 ) 。 
定义 5.6( 推 广 的 离散 对 数 问题 ) 给 定 循环 群 G. 设 其 阶 为 n, 生 成 元 为 g, 以 及 G 上 


随机 选取 的 元 素 y ,寻找 整数 xz(1 三 z+<n 一 1) ,使 得 > 一 6 。 


由 推广 的 离散 对 数 问题 可 知 ,ElGamal 方案 可 以 推广 到 一 般 循 环 群 ,如 基于 椭圆 曲线 


的 ElIGamal 方案 。 


[1] 计算 2,5,10 模 13 的 阶 

[2] 求 模 47 的 所 有 原 根 。 

[3] 设 p 为 素数 ,a?* 三 b* (mod p)。 求 证 : a* 志 b?* (mod p?)。 
[4] 设 p==2" 十 1 为 Fermat 素数 ,证 明 3 为 模 p 的 原 根 。 
[5] 编写 程序 实现 输出 47 的 所 有 原 根 。 

[6] 编写 程序 实现 输出 1 一 46 模 47 的 阶 表 。 
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[7] 求 以 6 为 底 的 模 41 的 指数 表 。 

[8] 编写 程序 实现 EIGamal 公 钥 密码 系统 。 

[9] 已 知 orduiy (9) 一 32。13。19,orduy (2297) 一 2。32。19, 求 整数 e, 使 ordw1 (a) 一 
[ordqy (9) ,orduiy (9)] 王 [3:。13。19,2。3:。19] 一 2。3:。13。19 一 4446 。 

[10] 利用 PARI 软件 验证 DH 密 钥 协商 和 ElGamal 公 钥 密码 系统 。 
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本 章 介绍 只 有 一 种 运算 的 代数 结构 一 一 群 。 
本 章 的 重点 是 群 的 相关 概念 、 循 环 群 ;难点 是 置换 群 。 


| 群 的 简介 


定义 6.1( 代 数 运算 ) 设 S 是 一 个 非 空 集合 (set) ,那么 SXS>S 的 映射 叫 作 S 上 的 
代数 运算 。 该 代数 运算 记 为 oCoperator) 。 

由 映射 的 定义 可 知 ,代数 运算 的 结果 必须 是 唯一 确定 的 。 

定义 6.2( 封 闭 性 ) 对 于 非 空 集 合 S 以 及 S 上 的 运算 o,S 中 任意 元 素 a 和 4, 有 aob 
ES, 则 运算 o 具有 封闭 性 (closure) 。 

对 普通 加 法 运算 和 乘法 运算 而 言 ,运算 均 满 足 封 闭 性 ,所 以 封闭 性 是 最 本 质 的 运算 性 
质 。 代 数 运算 是 最 一 般 情 况 下 加 法 运算 和 乘法 运算 的 自然 推广 ,因而 具备 封闭 性 。 

定义 6.3( 代 数 系统 ) 对 于 非 空 集合 S 以 及 S 上 的 运算 o, 若 运算 o 满足 封闭 性 , 则 
称 其 为 代数 系统 (algebra system) , 记 为 二 S,o 二 。 

代数 系统 结构 ,性 质 以 及 其 相互 关系 是 计算 机 学 科研 究 离散 对 象 结构 问题 的 关键 所 
在 。 常 见 的 代数 系统 有 群 、 环 、 域 等 ,这 些 代数 系统 是 密码 学 重要 的 研究 对 象 。 

例 6.1 二 N, 十 二 是 代数 系统 ,二 N, 一 二 不 是 代数 系统 ,二 Z, 一 是 代数 系统 。 

代数 系统 内 的 代数 运算 一 般 需 要 运算 规则 (运算 律 ), 运 算 律 用 于 将 代数 系统 的 性 质 
抽象 化 。 不 同 的 运算 律 下 可 以 定义 不 同 的 代数 系统 。 

定义 6.4( 结 合 律 ) ”对 于 非 空 集合 S 以 及 S 上 的 运算 o,S 中 任意 元 素 a,b,c, 有 
(aob)oc 一 ao(boc) , 则 运算 o 满足 结合 律 (associative) 。 

定义 6.5 满足 结合 律 的 代数 系统 称 为 半 群 (semigroup) 。 

例 6.2 二 Z, 一 > 不 是 半 群 。 二 Z, 十 之 是 半 群 。 

例 6.3 A 二 {1,2,3,4),S 为 A 的 全 部 子 集 构成 的 集合 ( 即 A 的 寡 集 ), 则 过 S, 站 二 ， 
<S,U>> 均 是 半 和 群 。 

定义 6.6( 单 位 元 ) 设 S 是 一 个 具有 运算 o 的 非 空 集合 。 如 果 S 中 有 一 个 元 素 e 
使 得 

CC 一 位 

对 S 中 所 有 元 素 a 都 成 立 , 则 称 元 素 e 为 S 中 的 左 单位 元 。 

同 理 ,车 有 ae 二 a 对 S 中 所 有 元 素 a 都 成 立 , 则 称 元 素 e 为 S 中 的 右 单位 元 。 当 左 单 
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位 元 等 于 右 单位 元 时 , 合 称 为 单位 元 (identity element) 。 

半 群 中 不 一 定 存在 左 单位 元 ,也 不 一 定 存在 右 单位 元 ,但 是 若 左右 单位 元 同时 存在 ， 
则 左 、 右 单位 元 必定 相等 且 为 唯一 的 单位 元 。 

定义 6.7( 独 异 点 ) ”具有 单位 元 的 半 群 称 为 独 异 点 (monoid, 也 叫 作 么 半 群 ) 。 

例 6.4 <N, 十 之 是 独 异 点 ,单位 元 为 0。<<N,' 二 是 独 异 点 ,单位 元 为 1。 

逆 元 概念 的 引入 需要 基于 单位 元 的 存在 性 。 

定义 6.8( 逆 元 ) 设 S 是 一 个 具有 运算 o 的 有 单位 元 的 集合 ,a 是 S 中 的 一 个 元 素 ， 
如 果 S 中 存在 一 个 元 素 a ,使 得 

aa’” -= a'a ==@ 

则 称 元 素 a 为 S 中 的 可 逆 元 , 称 a 为 a 的 逆 元 (inverse element), 记 为 a7!。 

当 运 算 o 为 加 法 时 ,这 个 a’ 叫 作 a 的 负 元 , 记 为 一 a。 

定义 6.9( 群 ) 非 空 集合 S 中 每 个 元 素 具有 逆 元 的 独 异 点 是 群 (group) 。 

一 个 代数 系统 是 否 为 群 ,是 由 非 空 集合 S 和 S 上 定义 的 代数 运算 共同 决定 的 。 在 相 
同 的 非 空 集 合 S 下 定义 的 不 同 的 代数 系统 ,可 能 为 群 , 也 可 能 不 为 群 。 

一 个 代数 系统 的 单位 元 `. 逆 元 等 ,也 是 由 非 空 集合 S 和 S 上 定义 的 代数 运算 共同 决 
定 的 。 在 相同 的 非 空 集合 下 定义 的 不 同 的 代数 系统 ,其 单位 元 和 逆 元 也 可 能 不 相同 。 

例 6.5 整数 集 Z, 对 于 普通 加 法 运算 所 Z, 十 之 可 以 构成 一 个 群 ,但 是 对 于 普通 乘法 
运算 ,因为 除 土 1 以 外 的 元 素 均 缺少 逆 元 ,二 Z,X 二 而 不 能 构成 群 。 

例 6.6 为 合 数 ,Z 二 Z/mZ= 二 {0,1,…,m 一 1}。。 表示 模 的 乘法 。<=Z,… 
不 是 群 ,但 二 Z; ,， 二 是 群 ,这 里 Z 表示 模 m 的 最 小 非 负 简化 剩余 系 。 

定义 6. 10( 消 去 律 ) 设 S 是 一 个 具有 运算 o 的 非 空 集合 ,如 果 对 S 中 任意 元 素 a、b 
和 c, 其 中 a 非 零 , 当 ab==ac 或 ba 二 ca 时 ,一 定 有 20=c 成 立 , 则 称 运算 o 具有 消去 律 
(cancellation law) 。 

例 6.7 和 群 一 定 满足 消去 律 ,因为 群 内 任意 元 素 均 含有 逆 元 ,等 式 左 乘 或 右 乘 非 零 元 
a 的 道 元 ,可 以 直接 得 到 结果 。 

定义 6.11( 交 换 律 ) 设 S 是 一 个 具有 运算 o 的 非 空 集合 ,如 果 对 S 中 任意 元 素 a 和 
b, 有 


aob = boa 

则 称 运算 o 具 有 交换 律 (commutative law) 。 

定义 6.12 群 中 运算 具有 交换 律 的 群 叫 作 交 换 群 ,或 者 可 换 群 ,或 者 Abel 群 。 

例 6.8 一 Z, 十 二 是 交换 群 。 有理 数 集合 Q、 实 数 集 RR、 复 数 集 C 对 于 通常 意义 下 的 
加 法 十 和 乘法 ， 而 言 ,二 Q\{0},* 二 ,二 R\{0},* 二 ,二 C\{0),， 二 是 交换 群 。 

思考 6.1 x 的 道 元 是 什么 ? a 十 bi 的 逆 元 是 什么 ? a 十 b V2 的 道 元 是 什么 ? 

例 6.9 全 体 实数 R 上 的 nxXn 可 道 和 矩阵 ,对 矩阵 乘法 构成 一 个 群 , 记 为 GL, (R), 称 
为 n 级 “一 般 线 性 群 "。 全 体 实数 域 R 上 和 矩阵 行列 式 为 1 的 nxn 矩阵 ,对 矩阵 乘法 构成 
一 个 群 , 记 为 SL, (R) , 称 为 “特殊 线性 群 *。 这 两 个 群 中 群 元 素 为 矩阵 , 群 中 的 乘法 运算 为 
矩阵 乘法 。 这 两 个 群 都 不 是 交换 群 。 
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例 6.10 设 复数 域 上 4 个 二 阶 和 矩阵 为 
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令 五 一 { 士 1, 士 A, 士 下 , 士 C} , 则 可 证 明 互 关于 和 气 阵 的 乘法 构成 一 个 群 。 事 实 上 ,乘法 显 
然 适合 结合 律 ,而 且 互 关于 乘法 封闭 江 是 单位 元 ,4 一 一 4,B 一 一 一 B,C 二 一 C, 群 日 
称 为 四 元 数 群 ,也 称 为 Hamilton 群 , 它 是 非 交换 的 。 
读者 可 以 根据 矩阵 的 乘法 写 出 Hamilton 四 元 数 群 的 乘法 表 。 
图 6. 1 以 一 种 * 递 进 ” 的 方式 给 出 概念 间 的 联系 , 非 正式 地 说 ,显示 了 和 群 定义 中 类 似 于 
“进化 完善 ”的 过 程 ,便于 理解 和 记忆 。 
满足 封闭 性 ， ea system) 


满足 结合 律 的 代数 系统 ， 称 为 半 群 (semigroup) 
具有 单位 元 的 半 群 是 独 异 点 (monoid) 
每 个 元 素 具 有 逆 元 的 独 异 点 是 群 (group) 


群 中 运算 具有 交换 律 的 群 叫做 交换 群 (abel group) 
图 6.1 用 “ 递 进 ” 的 方式 给 出 概念 间 的 联系 便于 理解 群 的 “进化 完善 ”过 程 


定义 6.13 若 群 G 中 含有 有 限 个 元 素 , 则 称 群 G 为 有 限 群 ; 若 群 G 中 含有 无 限 多 个 
元 素 , 则 称 群 G 为 无 限 群 。 一 个 有 限 群 G 中 的 元 素 个 数 称 为 群 的 阶 , 记 为 1G| 。 无 限 群 的 
阶 被 称 为 无 限 。 
思考 6.2 你 能 给 出 无 限 群 和 有 限 群 的 例子 吗 ? 
三 Z, 十 二 是 无 限 群 ,二 {0,1.2,…,n 一 1) ,十 mod "二 是 有 限 群 。 
例 6.11 设 n 是 一 个 正 整数 ,集合 为 Z/nZ 二 {0,1,2,…,n 一 1) ,集合 Z/nZ 上 的 运算 
为 加 法 
4 由 0 一 (aa 十 0 (modn) 
其 中 a (mod n) 是 整数 a 模 ” 的 最 小 非 负 剩 余 。G 一 过 Z/72Z, 申 > 构成 一 个 交换 加 群 。 
IG|=n。 
例 6.12 设 n 是 一 个 合 数 ,集合 (Z/nZ)* = 二 {ala€EnZ,(a,n) 二 1} ,集合 (Z/nZ)* 上 
的 运算 为 乘法 
ab = (aXb) (modn) 
G 二 二 (Z/nZ)* ,名 二 构成 一 个 交换 乘法 群 。|1G| 一 p(z) 。 
下 面 引 入 短 次 的 概念 。 
徊 次 概念 的 引入 是 指数 概念 的 自然 推广 ,因此 指数 运算 规则 在 群 中 适用 。 
定义 6.14 设 n 是正 整 数 ,如 果 @a 二 as 二 … 二 4, 二 a, 则 记 alaz…a, 二 a” , 称 之 为 a 的 
nn 次 短 , 特 别 地 ,定义 a 二 e 为 单位 元 ,a “为 a 的 nn 次 笑 ( 即 a 的 逆 元 与 自己 运算 nn 次)。 
由 群 的 结合 律 可 以 得 到 ,a 是 群 G 中 的 任意 元 , 则 对 任意 的 整数 m,n, 有 
a = a a) =a™ 
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注意 : 上 面 n 虽然 写 在 右上 角 , 对 于 加 法 运算 而 言 ,其 实 是 “na”, 即 0a 一 e 为 单位 元 
(加 法 群 的 零 元 ),( 一 na 二 n( 一 Qa) ,ma 十 na 二 (m 十 ra.m(na) 二 (mn)a。 也 就 是 说 ,这 里 
的 办 次 具体 如 何 计算 取决 于 群 中 的 运算 。 

例 6.13 <=Z/nZ, 外 > 中 ,1*=0,1"*=( 一 1)*=0,2"=0,2™*= 二 (一 2)"* 二 0。 

其 实 ,对 于 加 法 而 言 ,13 王 3,1-: 一 (一 1)3 一 7 一 3。 

又 如 ,天 Z, 十 二 中 ,1 一 2 ,1 一 (一 1)” 712" 一 272，2 "一 (一 2)” 27。 

下 面 引入 元 素 的 阶 (Order) 的 概念 。 

元 素 的 阶 概念 的 引入 是 用 于 研究 群 的 周期 性 质 , 寡 次 是 研究 元 素 的 阶 的 主要 工具 。 

定义 6.15 设 a€ 群 G,e 是 G 的 单位 元 , 若 任 意 kEN,a* 隆 e, 则 称 a 的 阶 为 无 穷 大 ， 
记 作 |a| 二 吕 , 若 存在 kEN 使 得 a* 二 e, 则 称 min{k|kEN,a* 二 e} 为 a 的 阶 。 车 a 的 阶 是 
nn;, 则 记 作 la|==n。 

思考 6.3 元 素 的 阶 和 群 的 阶 有 什么 区 别 ? 

例 6.14 和 群 中 单位 元 的 阶 是 1, 其 他 任何 元 素 的 阶 都 大 于 1。 志 Z/5Z, 申 > 中 单位 元 
的 阶 是 1, 其 他 元 素 1,2,3 ,4 的 阶 都 是 5。 二 Z/6Z, 四 过 中 单位 元 的 阶 是 1,1 的 阶 为 6,2 
的 阶 是 3,3 的 阶 是 2,4 的 阶 是 3,5 的 阶 是 6。 

思考 6.4 无 限 群 中 元 素 的 阶 一 定 是 无 限 的 吗 ? 有 限 群 中 元 素 的 阶 一 定 是 有 限 
的 吗 ? 

例 6.15 集合 S={1, 一 1,i, 一 让 关于 乘法 构成 群 , 即 4 次 单位 根 群 G= 二 S,， > 二。 
群 I1G|=4。 11|=1,| 一 1|=2,|i|=| 一 i|=4。 

例 6.16 群 <Z, 十 > 中 ,|1|=co,|2|=co,|0| 王 1。 其 实 ,除了 0 外 ,其 余 元 素 阶 均 
为 2。 群 二 Q\{0},，* 二 中 ,11|=1,| 一 1|=2, 其 余 的 元 素 阶 均 为 oo。 


6.2 子 群 . 陪 集 . 拉 格 朗 日 定理 


下 面 讨 论 两 个 群 之 间 的 关系 (由 群 中 集合 的 包含 关系 确定 ) 。 

一 般 情况 下 ,讨论 子 群 是 为 了 通过 子 群 的 特征 对 群 进行 划分 与 分 类 ,进而 研究 群 的 
性 质 。 
定义 6.16 设 电 是 群 G 的 一 个 非 空子 集合 ,如 果 对 于 群 G 的 运算 , 互 成 为 一 个 群 ， 

则 五 叫 作 群 G 的 子 群 (subgroup) , 记 作 HG。 

及 二 {e} 和 五 二 G 都 是 群 G 的 子 群 , 叫 作 群 G 的 平凡 子 群 。 

如 果 矿 不 是 群 G 的 平凡 子 群 ,那么 G 的 子 群 瑟 叫 作 群 G 的 真子 群 或 非 平凡 子 群 ， 
记 作 H=G。 

例 6.17 3Z 一 {…, 一 6, 一 3,0,3,6,…} 是 Z 的 子 群 。6Z 一 {…，, 一 12, 一 6,0,6， 
12,…} 是 3Z 的 子 群 , 即 过 6Z, 十 之 委 二 3Z, 十 二。 

Ee ey by Ne i /ey A 

例 6.18 设 ) 是 一 个 正 整 数 , 则 二 ”2Z 王 (|AEZ} ,十 是 二 Z, 十 二 的 子 群 。 

例 6.19 天 Z, 十 > 二 <Q, 二 > < <R,+> < <C,+>; 
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定理 6.1 设 G 是 群 ,有 H 是 G 的 子 群 , 则 互 中 任意 元 素 在 五 中 的 逆 元 等 于 该 元 素 在 
G 中 的 逆 元 , 瓦 中 的 单位 元 就 是 G 中 的 单位 元 。 

证 明 记 互 中 的 单位 元 为 el,G 中 的 单位 元 为 es,a 为 互 中 任意 一 元 素 ,a 为 a 在 
互 中 的 逆 元 ,as 为 a 在 G 中 的 逆 元 。 

因为 ee 一 e 一 ele: ,根据 群 的 消去 律 ,因为 ee 一 ete: ,可 以 得 到 e = 一 e: , 故 互 中 的 单 
位 元 就 是 G 中 的 单位 元 。 

因为 ara 二 el 二 aza ,根据 群 的 消去 律 ,因为 a1a 二 asa, 可 以 得 到 a 一 a,。 又 因为 a 取 
值 的 任意 性 , 故 互 中 任意 元 素 在 互 中 的 逆 元 等 于 该 元 素 在 G 中 的 逆 元 。 图 

除了 用 定义 来 判定 外 , 子 群 的 判定 还 可 以 根据 以 下 更 为 简单 的 判定 定理 。 

定理 6.2 设 电 是 群 G 的 一 个 非 空子 集合 , 则 瑟 是 群 G 的 子 群 的 充 要 条 件 是 对 任 
意 的 a,b5EHH, 有 ab"'€EH。 

证 明 必然 性 是 显然 的 ,下 面 证 明 充 分 性 。 

因为 有 非 空 ,所 以 有 H 中 有 元 素 a ,根据 假设 ,有 ee 二 aa-'€ 昌 ,因此 有 中 有 单位 元 。 
对 于 eEH 及 任意 a ,再 应 用 假设 ,有 a-! 二 ea-'€E 昌 , 即 H 中 每 个 元 素 a 在 互 中 均 有 逆 
元 。 对 于 任意 4a,bE 昌 ,由 ab 二 a(b71)-1E 及 ,可知 有 H 对 乘法 运算 封闭 ,因此 矿 是 群 G 的 
子 群 。 国 

注意 : 如 果 运 算 为 加 法 , 则 ab™1€ 电 应 视 为 4 十 (一 b) E 日 ,或 a 一 bEH。 

例 6.20 3ZCZ, 任 意 的 a.b 是 对 任意 的 a,5E3Z, 有 ab '!E€3Z, 即 不 妨 设 4 二 3m， 
mE€EZ,60= 一 3n,nEZ, 于 是 ab"!=3m 一 3n 二 3(m 一 n)€3Z, 于 是 二 3Z, 十 守 <2Z ,十 > 。 

下 面 引入 陪 集 的 概念 , 陪 集 是 群 内 特殊 的 子 集 , 陪 集 的 引入 主要 用 于 通过 对 群 进行 陪 
集 划 分 来 研究 群 的 性 质 。 

定义 6.17 设 末 是 群 G 的 子 群 ,aeEG. 则 称 群 G 的 子 集 a 互 ={azlzE 万 ) 为 群 G 关 
于 子 群 互 的 一 个 左 陪 集 , 称 群 G 的 子 集 Ha={zalzE 万 } 为 群 G 关 于 子 群 互 的 一 个 右 
陪 集 , 同 时 a 称 为 代表 元 。 

例 6.21 Z 关 于 子 群 甩 = 二 3Z, 十 二 的 左 陪 集 。 

假设 a=3, 则 a 互 ={3 十 zl|zE3Z} 一 {34|AEZ}。a 一 3 是 代表 元 。 

假设 = 一 4, 则 a 互 王 (4 十 zl|zE3Z} 一 {1 十 34IAEZ}。a 一 4 是 代表 元 。 

假设 <=5, 则 a 互 天 (5 十 zl|zE3Z} 一 {2 十 34|AEZ}。a 王 5 是 代表 元 。 

假设 <=6, 则 a 互 天 (6 十 zlzE3Z} 一 {34IAEZ}。a 一 6 是 代表 元 。 

也 关于 子 群 有 [二 二 3Z, 十 二 的 右 陪 集 。 

假设 a==3, 则 Ha={x 十 31r7€32Z}=={3k|kEZ)}。a==3 是 代表 元 。 

假设 a==6, 则 Ha 二 {x 十 61|xE€32Z})= 二 {3k|kEZ)}。a= 二 6 是 代表 元 。 

例 6.22 F? 一 <Z/7Z\{0},。 过 的 非 平凡 子 群 有 Hi 二 {1,2,4}, Hs 二 {1,6}。F? 
关于 Hi 的 左 陪 集 。 

假设 a=1,; 则 aHi=1 李 ={1*x|lx€ 了 本}=={1*1,1*2,1*，4})=={1,2,4}。a 二 1 是 
代表 元 。 

假设 一 2, 则 co 瑟 ;一 2 本 一 (2。zlzE 万 )} 一 (2。1,2。2,2。4} 一 {1,2,4}。a 一 2 是 
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代表 元 。 


假设 a=4, 则 aHl==4 本 二 {4*， zlz€EH) 二 {4 1,4。2,4。4} 一 (1,2,4}。a 一 4 是 


代表 元 。 


假设 a=3, 则 aHi=3 李 ={3*zlxz€H})}={3。1,3，2,3。4} 二 {3,5,6}。a 二 3 是 


代表 元 。 


假设 a=5, 则 aHi=5Hl=={5* xz1x€EH}={5。1,5.。2,5。4} 二 {3,5,6}。a= 二 5 是 


代表 元 。 


假设 a=6, 则 aHi= 二 6 二 {6 .xz1x€EH1) 二 {16.1,6*2,6.4}) 二 {3,5,6}。a 一 6 是 


代表 元 。 


F? 关于 Hs 的 右 陪 集 : 

假设 a=3,Hsa=H,3={z* 3|x€EH,}={1. 3,6: 3}={3,4}。 

a 二 3 是 代表 元 。 

假设 a=5, 则 瑞 :a 王 万 :5 一 {z。5|zE 万 :} 一 (1。5,6。5} 一 {2,5)。 

a 二 5 是 代表 元 。 

假设 a=6, 则 页:a 一 万 :6 一 {z。6|zE 万 :} 一 (1。6,6。6)} 一 (1,6)。 

a 二 6 是 代表 元 。 

从 上 面 可 以 观察 到 有 些 右 ( 左 ) 陪 集 是 相等 的 。 下 面 讨论 什么 情况 下 会 出 现 这 种 


情况 ? 


定理 6.3 设 瑟 是 群 G 的 子 群 . 则 Ya.b6EG,Ha= 二 Hb 与 下 面 两 个 等 价 。 

(1)a€ Hb, 

oad EH 

证 明 (1) a€ 万 0 一 万 ao 一 万 0 。 

设 aE Hb, 则 存在 hEH,a 二 hb, 即 6 二 h-!a。 

VxE Ha, 存 在 hE€E 昌 ,使 得 x 二 ha 二 hi (hb) 二 (hh)b。 子 群 H 对 运算 封闭 ,于 是 


hh€EH, 于 是 x€E Hb。 故 HaScHb。 


VyE Hob, 存在 hE 日 ,使 得 y= 二 hs6 一 hs(h-ia) 二 (hsh-!)a。 同 样 地 , 子 群 玉 对 运算 


封闭 ,于 是 hsh-!1€E, 于 是 y€E Ha。 故 HOS Ha。 


因此 ,Ha== Hb。b。 

(2) Ha= Hbo>ab '€EH., 

设 Ha 一 Hb, 则 Yha€ Ha, 都 存在 hE€ 昌 ,使 得 ha 一 hb, 即 ab-! 一 h-'h EH。 

(3) ab 'E Hr>a€ Hb, 

ab-!€ 昌 , 则 存在 hE€E 昌 ,使 得 ab 1 一 h, 于 是 a 二 hb€ Hb。 

综 上 ,a€ Hb 一 Ha 一 Hb>ab-'€ H>a€ Hb, 因 此 ,三 者 等 价 。 国 
由 上 述 定理 中 的 (1) 可 以 看 出 ,一 旦 代表 元 a“ 落 入 ”代表 元 b 的 右 陪 集 , 则 两 个 陪 集 


就 是 一 样 的 (如 第 2 章 同 余 中 提 到 的 剩余 类 中 的 一 个 元 素 可 以 代表 这 一 类 元 素 ) 。 
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定理 6.4 设 互 为 群 G 的 子 群 .a,5EG. 则 
(1)a€ Ha, 
(2) Ha 二 Hb, 或 者 Ha 站 Hb 二 名 。 
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(3) 6G= UHa, 

证 明 (1) 及 为 G 的 子 群 , 故 玉 中 有 单位 元 ,a 二 ea€ Ha。 

(2) Ha 几 H6 关 名, 则 存在 z€E Ha 几 H6, 由 xzE Ha,; 则 Hz 二 Ha,; 由 xz€ Hb, 则 Hz= 
Hob, 于 是 Ha== Hb。 

(3) 由 于 每 个 右 陪 集 都 是 群 G 中 集合 的 子 集 ,这 些 右 陪 集 的 并 也 是 G 的 子 集 ,于 是 
G6 忆 UHa; 另 外 ,gE€G, 由 (1) 知 区 全 HgS UL Fa ,于 是 GE UHa, 

综 上 ,G6 一 YHa。 国 

从 上 面 定 理 可 知 以 下 几 点 。 

(1) 每 个 右 陪 集 的 代表 元 都 包含 在 该 右 陪 集中 。 

(2) 任意 两 个 右 陪 集 要 么 相等 ,要 么 不 相交 。 

(3) 将 不 重复 的 全 部 右 陪 集 并 起 来 等 于 整个 群 G 的 集合 。 

因此 , 群 G 的 所 有 右 陪 集 构成 了 G 的 一 个 分 划 (partition)。 

在 相同 的 群 下 ,不 同 的 子 群 可 以 提供 不 同 的 陪 集 分 解 。 

当 群 G 是 有 限 群 时 , 陪 集 分 解 是 有 限 的 ;然而 , 当 群 G 是 无 限 群 时 , 陪 集 分 解 可 能 是 
有 限 的 ,也 可 能 是 无 限 的 。 

例 6.23 二 Z, 十 之 关于 五 二 二 3Z ,十 盖 的 右 陪 集 HH3,H4,H5 构成 了 ZZ 的 一 个 分 
划 。 这 里 的 运算 是 加 法 。 另 外 , 互 5 一 巨 2,H4 一 互 1 ,本 3 一 万 0。 万 5 站 万 3 一 性 。 

同时 ,以 单位 元 为 代表 的 右 陪 集 是 子 群 瓦 ,其 余 右 陪 集 都 不 是 G 的 子 群 。 

例 6.24 二 Z, 十 二 关于 互 = 二 3Z, 十 之 的 右 陪 集 H2 不 是 G 的 子 群 ,因为 没有 单位 
元 0。 右 陪 集 HH1l 也 不 是 子 群 ,没有 单位 元 0。 只 有 HO0 是 子 群 , 即 有 H。 

定义 6.18 若 万 为 群 G 的 子 群 , 则 称 瑟 的 右 ( 左 ) 陪 集 的 个 数 为 互 在 G 中 的 指数 ， 
记 为 [G: H]。 

例 6.25 G=<Z, 二 >,H=<3Z, 十 之 , 则 [G: HJ=3。G=<Z, 二 >,H=<5Z, 十 >， 
则 [G:H]=5。G=<Z, 十 宇 ,H=<nZ, 十 之 , 则 [G: Hj]=n。 

引 理 6.1 设 万 为 群 G 的 子 群 , 则 互 与 瓦 的 任 一 个 右 陪 集 Ha 之 间 都 存在 双 射 。 

证 明 设 /:H>Ha, 其 中 Vh€EH, 有 f(h) 二 ha。 

(1) 了 是 一 个 映射 ,因为 hh 在 下 的 像 ha 是 唯一 确定 的 。 

(2) YAhaE Ha, 有 原 像 h, 所 以 了 是 满 射 。 

(3) 设 (1)= 二 asf(hz) 二 hza, 若 ha 二 hza; 则 aaT! 二 hzaaT!, 即 有 二 hs, 所 以 f 
是 单 射 。 

综 上 ,了 是 双 射 。 国 

由 上 述 定 理 可 知 , 子 群 不 相等 的 右 陪 集 不 相交 , 且 有 相同 数目 的 元 素 。 

例 6.26 G 一 一 Z, 十 之 关于 瑟 王 二 3Z, 十 之 的 右 陪 集 为 E0 一 {zlz 一 34,AEZ)}， 
Hl 二 {xz|x=3k 十 1,kEZ},H2 二 {rz 二 3k 十 2,kEZ) ,它们 具有 相同 的 元 素 个 数 , 即 
IH0|=|1H1|=|1H2|。 

另外 ,G 二 过 Z, 十 二 关于 及 二 一 4Z, 十 二 的 左 陪 集 是 0O 昌 .1H,2H,3 甩 ,具有 相同 的 元 
素 个 数 。 
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下 面 引入 群 论 中 的 一 个 重要 的 定理 Lagrange 定理 。 
定理 6. 5(Lagrange 定理 ) 设 互 为 有 限 群 G 的 子 群 ,|G| 王 | 五 |… [G:H]。 
证 明 假设 IG| 二 N,|HI=n,[G:H] 二 j。 因 为 [G: 理 ]==j, 即 群 G 关 于 子 群 态 的 右 
陪 集 的 个 数 是 j。 
G= Ho U Ha: U…U Ha; 


其 中 Ha 二 Ha 
由 引 理 6.1, 有 
| Hai |=| Ha;s |=…… =| Haj;|=n 
所 以 |G|=|1Hai1j, 即 N=nj。 国 


Lagrange 定理 将 子 群 的 阶 和 有 限 群 的 阶 联系 起 来 。 它 给 出 判定 有 限 群 子 群 的 必要 
条 件 ,为 子 群 的 判定 .分 类 提供 新 的 方法 。 
例 6.27 F? == 二 Z/7Z\{0},。 之 的 非 平凡 子 群 有 Hi=={1,2,4), Hs, 二 {1,6)。F; 
关于 FH, 的 左 陪 集 有 两 个 , 即 
Hi={l° zlz€EH)}={1°1,1°2,1° 4}={1,2,4}。 
3Hi={3. xz|zEH}={3.1,3° 2,3° 4}={3,5,6}。 
容易 看 到 ,|F;? |==6,|Hi| * [F? :H,]=3* 2=6。 
F?7 关于 H; 的 右 陪 集 有 3 个 , 即 
五 :3 一 (rz。3|zE 万 } 一 (1。3,6。3} 一 (3,4}。 
了 :5 一 {(z。5|zE 万 :} 一 (1。5,6。5} 一 (2,5)}。 
H.6={x* 6|x€EH,}={1. 6,6. 6}={1,6 
容易 看 到 ,|F; |=6,|H,| ， [F;? :Hi]=2* 3=6。 
推论 6.1 设 G 为 有 限 群 , 则 YaE€EG, 其 阶 m 是 |G| 的 因子 , 即 |al||1G|。 
证 明 由 a 生成 G 的 一 个 循环 子 群 甩 ,由 Lagrange 定理 知 | HI|1G|。| 有 HI=m, 因 
此 ,ml1G|, 即 lal11G|。 国 
即 有 限 群 中 每 个 元 素 的 阶 是 群 的 阶 的 因子 。 
推论 6.2 设 玉 是 有 限 群 G 的 子 群 . 则 |HI|IG|。 
推论 6.3 设 G 是 N 阶 限 群 , 则 对 G 中 任意 元 素 g, 有 5 一 
例 6.28 G== 二 Z, 十 之 关于 子 群 及 = 二 nZ, 十 之 的 代表 元 为 a 的 右 陪 集 为 nZ 十 a， 
a€Z, 即 
nZ+a= {nk+alk€Z} 
即 为 ZZ 关于 模 的 剩余 类 ,[Z:nZ]==n,G 一 HOU HI1U…UHn 一 1), 这 里 Hi==nZ+i。 


在 6. 2 节 中 陪 集 概念 的 引入 ,提供 了 对 群 进行 划分 的 一 种 方法 。 然 而 , 陪 集 对 群 的 划 
分 不 能 够 保证 任意 陪 集 内 的 元 素 在 代数 运算 后 结果 依然 保持 在 唯一 的 陪 集中 。 例 如 ,一 Z， 
十 之 关于 所 3Z, 十 之 的 陪 集 H1,H1 中 的 元 素 进 行 代数 运算 后 的 结果 为 H2, 但 是 ,HO0 的 
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元 素 运算 后 结果 保持 在 互 0 中。 另外, 如果 将 陪 集 H0,H1l,H2 视 为 一 个 集合 ,如 何 定义 
运算 ,使 得 它们 能 构成 一 个 群 。 

定义 6.19 设 G 是 群 ,HG, 若 对 G 中 任 一 元 素 a, 均 有 a 一 Ha, 即 a 关于 理 的 
左 、 右 陪 集 相 等 , 则 称 互 为 G 的 正规 子 群 , 记 为 H4G。 

由 正规 子 群 的 定义 知 以 下 几 点 。 

(1) 单位 元 生成 的 子 群 ,以 及 群 G 本 身 ,是 两 个 平凡 的 正规 子 群 。 

(2) 当 G 为 Abel 群 时 , 它 的 任意 子 群 都 是 正规 子 群 。 

例 6.29 一 Z, 十 > 是 交换 群 ,<3Z, 十 之 是 正规 子 群 ,一 5Z 十 之 是 正规 子 群 ,一 ?7Z， 
十 二 是 正规 子 群 。 二 Q, 十 二 的 任意 子 群 都 是 正规 子 群 。 

正规 子 群 的 判断 条 件 如 下 。 

定理 6.6 设 末 是 群 G 的 正规 子 群 ,等 价 于 : 

(1)Va€EG,hEH,aha'€EH., 

(2) Ya€EG,aHa™'CH., 

(3)Va€G,aHa™'=H. 

证 明 从 五 是 群 G 的 正规 子 群 ,推导 (1): 因为 H4G 可 以 得 到 a 二 Ha, 所 以 任 取 
五 中 元 素 h, 可 以 得 到 ah 二 ha。 等 式 两 边 同 乘 a7! ,得 到 aha 一 hEH, 即 aha™'€H。 

从 (1) 推 导 (2): 因为 h 在 末 内 取 值 的 任意 性 ,可 以 得 到 aHa™'CH。 

从 (2) 推 导 (3): 因为 任意 hE 昌 , 均 有 aha !CCH, 即 存在 h;€ 昌 ,使 得 ahia ! 二 h,， 
即 a-!'hza= 二 hi ,因此 HCaHa-!。 所 以 ,aHa-'! 二 HH 得 证 。 

从 (3) 推 导 五 是 群 G 的 正规 子 群 : 因为 aHa7! 二 有 ,等 式 两 边 同时 右 乘 a, 得 到 
a 有 二 Ha, 因 此,H4G 得 证 。 国 

下 面 定义 一 个 运算 ,使 得 正规 子 群 的 陪 集 集合 构成 一 个 群 。 注 意 , 任 取 a 中 两 个 元 
素 a1,as,， 和 6H 中 两 个 元 素 0 ,六 ,都 有 aib 昌 二 asbs 晶 , 即 该 运算 的 定义 不 依赖 于 aH 和 
2 五 的 代表 元 的 选取 。 

定理 6.7 设 H4G, 令 G/H={aHla€G) 代 表 正 规 子 群 旷 在 群 G 中 的 全 部 不 同 的 
陪 集 组 成 的 集合 ,在 G/ 瓦 上 定义 运算 : (aH)。，(65H) 二 (ab) 昌 , 则 G/FH 在 该 运算 下 构成 
一 个 群 。 

证 明 G/H=={aHla€G})= 二 {Hala€G}), 由 

aH .bbH =abH € G/H 

于 是 ,G/ 对 于 运算 满足 封闭 性 。 


由 
(aH »bH)» cH = abH .cH = abcH 
aH* (bH*cH)=aH*. (becH)= abcH 
知 G/ 理 对 于 运算 满足 结合 律 。 
由 
HeaH=aH.H=afH 
知 G/H 对 于 运算 的 单位 元 为 有 H。 
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由 
aH .aH=aa"*H=H 
a HaH=aaH=H 
知 a 互 的 逆 元 是 < 一 万 。 

综 上 ,G/ 理 关于 运算 ， 构 成 一 个 群 。 

定义 6.20 群 G/HH 称 为 G 关于 正规 子 群 互 的 商 群 。 

例 6.30 一 Z, 十 过 关于 正规 子 群 <3Z, 十 过 的 陪 集 集合 为 H0, H1,H2, 即 G/ 万 一 
{H0,H1,H2}) ,在 G/H 上 定义 运算 : (aH)，(bH)==((a 二 b) mod 3)H,a,b€E10,1,2}， 
则 G/ 瑟 对 于 运算 ， 构 成 一 个 群 ,该 群 的 单位 元 是 H0,H0 的 道 元 是 H0,H1 的 逆 元 是 
H2,H2 的 逆 元 是 H1。 

例 6.31 nZ4Z, 商 群 Z/nZ=={0 十 nZ,1 十 nZ,…,(n 一 1) 十 nZ)}。 可 分 别 用 [0]， 
[1],…,[n 一 1] 表 示 这 个 个 陪 集 。Z/nZ 二 [0],[1],…,[n 一 1]}。 定 义 运算 

[aj]+[6] = [a+t+6b (mod n)] 
显然 ,在 这 个 运算 下 Z/nZ 构成 一 个 群 。 

例 6.32 商 群 G/F 的 单位 元 是 及 ,元 Ha 的 逆 元 是 Ha 。 

下 面 讨论 群 与 群 之 间 的 两 种 特殊 的 映射 。 

定义 6.21 设 G 和 G’ 是 两 个 群 ,/ 是 G 到 G’ 的 一 个 映射 ,如 果 对 任意 的 a,bEG， 
都 有 

flab) = f(a)f00) (6.1) 
那么 ,f 叫 作 G 到 G’ 的 一 个 同 态 (homomorphism)。 

如 果 /是 一 对 一 的 (injective), 则 称 /为 单 同 态 ;如 果 f 是 满 的 (surjective), 则 称 了 
为 满 同 态 ; 如 果 f 是 一 一 对 应 的 (bijective) , 则 称 f 为 同 构 (isomorphism) 。 

如 果 存 在 一 个 G 到 G’ 的 同 构 映 射 , 称 G 和 G' 同 构 , 记 作 G 衬 G'。 

当 G==G' 时 , 同 态 / 叫 作 自 同 态 , 同 构 / 叫 作 自 同 构 。 

Im( 有 二/(G) 二 {f(a)|la€G}) 称 为 群 G 的 同 态 像 。 

Ker(/) 二 {ala€G,f(a) 二 e') 称 为 同 态 f 的 同 态 核 。 

思考 6.5 同 态 映射 中 的 运算 是 否 有 区 别 。 

需要 注意 的 是 , 式 (6. 1) 中 左边 ap 之 间 的 运算 是 G 群 中 的 运算 ,右边 f(a)f/(5) 之 间 
的 运算 是 G' 群 中 的 运算 。 

例 6.33 加 和 群 乙 到 乘 群 R* 一 R\(0} 的 映射 f: ae 是 Z 到 R"* 的 一 个 同 态 。 

例 6.34 加 群 Z 到 加 群 忆 ,二 Z/nZ 的 映射 f: nk (kE10,1,….n 一 1)) 是 Z 到 艺 
的 一 个 同 态 。 

定理 6.8( 自 然 同 态 ) G 为 一 个 群 ,H4G, 则 G 与 它 的 商 群 G/H 同 态 。 

证 明 设 甩 是 G 的 正规 子 群 。 定 义 映射 /:G>G/ 理 为 f(a) 二 aH。 

容易 证 明 f(ab) 二 abH,f(a)f(0) 二 aH*bH 二 abH。 于 是 ,f(a0) 一 f(a)f(5)。 国 

例 6.35 整数 加 法 群 乙 与 商 群 Z/xZ 是 自然 同 态 。 

例 6.36 自然 同 态 的 核 就 是 正规 子 群 及。 例如 ,整数 加 法 群 Z 与 商 群 Z/nZ 是 自然 
同 态 的 核 就 是 nZ。 
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定理 6.9( 同 态 基 本 定理 ) 设 /是 群 G 到 G“ 的 一 个 满 同 态 映 射 ,N 王 Ker( 记 , 则 N 
是 G 的 一 个 正规 子 群 , 且 
(eS 
证 明 设 e 是 群 G 的 单位 元 ,e 是 群 G 的 单位 元 。 又 设 a,bEN, 则 有 f(a) 二 1(6)==e'。 
因此 f(a6-)=f(a)f(671)=e'(e')-1==e', 即 
Vab€E Nab EN 


于 是 N 是 G 的 子 群 。 
又 VcEG,aEN, flcac')=f()e (flo)) =e’ ,BT 
VcEGa€E Nac E 和 N 
因此 ,N 是 G 的 正规 子 群 。 
定义 g:G/N 一 G 为 


plaN) = f(a) 

这 个 映射 就 是 G/N 与 G' 之 间 的 同 构 映射 。 理 由 如 下 。 

(1) aN=6bN>6 1a€E Ne =f(671@) 二 (1(6))71f(a) 过 f(a)= 二 1(0), 即 在 gp 映 射 
下 G/N 的 一 个 元 素 只 有 一 个 像 。 

(2) 给 定 G 中 的 任意 一 个 元 素 a', 在 G 中 至 少 有 一 个 元 素 a ,满足 /(a) 二 a , 则 有 
plaN) 二 f(a)==a’, 即 4 是 G/N 到 G’ 的 满 射 。 

(3) aNbN=>b71ag N 过 (1(0))71f(a) 关 e 二 f(a) 关 1(0), 即 9 是 单 射 。 

(4) aNbN=abN>p(aNbN)=g(abN)=f(ab)=/(a)f(0)=9(aN) yg(oN)., 

综 上 ,G/N 宇 G’。 国 

图 6.2 给 出 了 3 个 映射 之 间 的 关系 : /二 g0。 


GIN 
6.2 自然 同 态 9: G>G/N,f:GG’,g: GIN 一 G 


6.4 循环 群 


本 节 讨 论 循环 群 ,其 中 很 多 定理 是 第 5 章 中 定理 的 一 般 化 和 抽象 化 ,第 5 章 研 究 对 象 
是 具体 的 ,如 整数 ,采用 归纳 的 方法 ,这 一 节 研 究 对 象 是 抽象 的 ,如 群 ,采用 演绎 的 方法 。 
定理 6.10 设 G 是 一 个 群 ,{H;)ie: 是 G 的 一 族 子 群 , 则 门 e1H; 是 G 的 一 个 子 群 。 
证 明 因为 e€ H;, 于 是 门 e1H; 非 空 。 若 a,6€ 人 Ni;erH;, 则 对 任意 的 i,a,b € H;。 
有 HH 二 G, 有 ab "EH;, 于 是 ab™'€ 作 ;e1H;。 由 子 群 的 判定 条 件 知 , 门 e1H; 是 G 的 一 
个 子 群 。 国 
例 6.37 2Z 是 Z 的 子 群 ,3Z 是 乙 的 子 群 。2Z 人 3Z 一 6Z 是 乙 的 子 群 。8Z 是 2Z 的 
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子 群 ,6Z 是 2Z 的 子 群 ,8ZI 6Z 一 24Z 是 2Z 的 子 群 。 

定理 6.11 设 G 是 一 个 群 ,X 是 G 的 非 空 子 集 ,{H;);e: 是 G 的 包含 X 的 所 有 子 群 ， 
则 NMierH; 是 G 的 由 X 生成 的 子 群 , 记 为 XX。 

例 6.38 XX=6Z,G 中 包含 X 的 所 有 子 群 为 2Z,3Z,6Z。2Z 门 3ZN 门 6Z 二 6Z,6Z 生成 
的 子 群 记 为 二 6Z>。 

实际 上 ,二 X> 是 G 中 包含 X 的 最 小 子 群 。 

X 的 元 素 称 为 子 群 二 XX 二 的 生成 元 。 如 果 久 二 {a ,…,a,), 则 记 二 X 二 为 过 a1， 
aa 二。 如 果 G= 一 ao ,as，…,a, 记 , 则 称 G 为 有 限 生 成 的 。 特 别 地 ,如 果 G= 二 a 二 ， 
则 称 G 为 由 a 生成 的 循环 群 (cyclic group) 。 

定理 6.12 设 G 是 一 个 群 ,X 是 G 的 非 空子 集 , 则 由 X 生成 的 子 群 为 

<X>= {anwan |tiENiacEGEZ,1 去 ii 雪线 
特别 地 ,对 任意 的 a€G, 有 
<a>={aln€Ez)} 

例 6.39 整数 加 群 二 Z, 十 之 是 由 1 或 一 1 生成 的 循环 群 。 其 中 任意 正 整 数 交 一 
lw" 一 (一 1)~”。 

例 6.40 G= 二 6 二 ,对 于 加 法 而 言 ,过 6 二 = 一 6 这 =<62Z, 十 二 。 

例 6.41 整数 模 群 (Z ,十 ) 可 由 模 的 同 余 类 [1] 生 成 , 故 (Z, ,十 mod n) 是 一 个 循 
环 群 。 

例 6.42 二 2,3 二 = 二 Z .十 二, 任意 两 个 互 素 的 整数 可 以 生成 加 法 群 <Z. 十 二 。 

车 G= 二 a 请 , 则 称 a 是 G 的 一 个 生成 元 。 当 ord(a) 王 m 为 有 限 整数 时 ,G 一 (eao， 
a ya% 1); 当 ord(a) 一 cc 时 ,G 一 人 aa ?a ,eda ae) 

例 6.43 < ,，。 mod 5 盖 一 二 2>> 一 {20,2,22,23} 一 (1,2,3,4}。2 是 Zi 的 生 
成 元 。 

<Z? ,，。mod 5 一 二 4>> 一 (和 ,42 ,43} 一 (1,2,3,4}。4 是 Z; 的 生成 元 。 

例 6.44 对 一 Z, 十 过 而 言 ,ord(0) 一 1,ord(1) 一 co,ord( 一 1) 一 cc。 

易 知 ,循环 群 是 Abel 群 。 若 G 王 一 a>>, 则 |G| 一 ord(a) 。 

例 6.45 2Z7 三 一 3 二 一 {31,3: ,33 ,34,35,35}。|2Z7 | 一 ord(3) 一 6。 

例 6.46 设 G= 一 gs 二 ={grg 和 1,1 过 mr 一 28 一 1),G 是 ， 阶 循环 群 , 则 

<ae>={e |kE 2Z) 

Z; =<3>={3!,3? ,3 ,3 ,3 ,3°}。 

人 <= = 2 22 一 24 1)}; 

思考 6.6 这 一 定义 和 第 5 章 中 原 根 和 阶 的 定义 形成 了 某 种 “呼应 ”。 

定理 6.13 加 群 乙 的 每 个 子 群 H 都 是 循环 群 , 且 有 及 二 二 0> 或 者 H 二 m= 
mZ, 其 中 以 是 日 中 的 最 小 正 整 数 。 如 果 及 关 二 0 记 , 则 瑟 是 无 限 的 。 

例 6.47 加 群 Z 的 子 群 互 天 二 3 之 一 3Z 是 无 限 的 , 互 天 二 0 盖 一 二 {0} ,十 之 是 有 
限 的 。 
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例 6.48 加 群 Z 的 子 群 甩 = 二 m 二 ==mZ 是 无 限 的 , 即 之 {…, 一 2m, 一 m ,0 ,m， 
2m,…} ,十 之 是 无 限 的 。 

定理 6.14 每 个 无 限 循环 群 同 构 于 加 群 Z, 每 个 阶 为 m 的 有 限 循 环 群 同 构 于 加 群 
Z/mZ。 

证 明 定义 :2Z>G 为 1(k) 二 a*, 则 了 是 满 射 。 对 于 任意 整数 1,n€EZ, 有 

fuU+n) = a = ala" = f(D)f(n) 

于 是 /是 一 个 群 同 态 。 

(1) 若 ord(a) 一 cc,mEKer(CP) , 则 f(n) 二 a" 二 e, 故 nn 二 0, 即 Ker(/) 二 10}。 由 同 态 
基本 定理 ,有 

Z=2Z/{0} 守 G 
(2) 车 ord(a) 二 m,n€E Ker( 有 ), 则 /(n)= 二 =a" 二 e 设 
n= gm+r 0<r<m 
则 
e=a"= (a")la’ =a 

由 阶 的 定义 ,r=0, 所 以 mln。 

反之 ,车 mln, 则 有 a" 二 e。 故 Ker(/) 二 {mk|kEZ}) 二 mZ。 有 同 态 基 本 定理 ,有 

Zn = Z/mZ SG 国 

此 定理 说 明 ,循环 群 的 构造 完全 取决 于 它 的 生成 元 , 当 生 成 元 的 阶 是 无 限 大 时 ,它们 
互相 同 构 且 都 与 <Z, 十 二 同 构 。 当 生成 元 的 阶 是 m 时 ,它们 互相 同 构 且 都 与 之 Z/mZ， 
十 mod m 记 同 构 。 因 此 ,从 同 构 的 观点 看 ,循环 群 只 有 两 种 , 即 整数 加 群 和 模 m 的 剩余 类 
加 群 。 于 是 ,对 循环 群 的 研究 可 转移 到 对 这 两 个 群 的 研究 上 来 。 

接 下 来 由 循环 子 群 的 阶 给 出 群 元 素 阶 的 等 价 定义 。 

定义 6.22 设 G 是 一 个 群 ,aEG, 则 子 群 二 oa 二 的 阶 称 为 元 素 a 的 阶 , 记 |a|。 

定理 6.15 设 G 是 一 个 群 ,a€G。 

如 果 a 是 无 限 阶 , 则 : 

(1) 惟一 e 当 且 仅 当 & 一 0。 

(2) 元 素 a*(kEZ) 两 两 不 同 。 

如 果 a 是 有 限 阶 疡 二 0, 则 : 

(3) m 是 使 得 a” 二 e 的 最 小 正 整数 。 

(4) a* 二 e 当 且 仅 当 m1k。 

(5) a 二 a* 当 且 仅 当 r 寺 kk (mod m)。 

(6) 元 素 a*(kEZ/mZ) 两 两 不 同 。 

(7) <a>={a,a’ an !,a"=e}。 


(8) 对 任意 整数 1 过 dm, 有 |a?| 二 一 号 一。 
(md) 


例 6.49 一 Z, ,十 二 的 全 部 子 群 为 Hs 二 二 d 放 ,其 中 dln, 且 二 4d 放 为 Z, 中 唯一 的 
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n/(d,n) 阶 子 群 ,其 生成 元 为 与 互 素 的 元 。 事实 上 , 设 ,一 二 a 放 , 因 为 2, 是 有 限 群 ,所 
以 必 存 在 整数 k 使 得 ka 二 1 (mod n), 于 是 (a,n) 一 1。 

例如 ,二 Zs ,十 二 有 1,2,4,8 阶 子 群 各 一 个 。1 阶 子 群 为 二 0 之 ,有 一 个 生成 元 ;2 阶 子 
群 为 二 4 之 ,有 一 个 生成 元 ;4 阶 子 群 为 二 2 之 ,二 6 之 ,有 两 个 生成 元 ;8 阶 子 群 为 二 1 二 ， 
去 3, 二 5 去 7>, 有 4 个 生成 元 。 

例 6.50 加 法 群 Zs 是 一 个 循环 群 ,[1] 是 生成 元 ， n PE 


言 ,任意 正 整数 有 都 有 oa) 一 二 ,所 以 [6] 的 阶 为 C8536 三 6,[8] 的 阶 为 到 一 一 二 9。 


ee 5 

例 6.51 二 Zi, 十 mod 12 二 是 12 阶 循环 群 。 

一 0 二 = 二 {0} ,是 1 阶 子 群 。 

<1>>= 过 5 汪 >=< 之 7 汪 = 过 11>>=2Zis ,是 12 阶 子 群 。 

2 二 = 过 10 二 ={0,2,4,6,8,10} ,是 6 阶 子 群 。 

3 二 = 二 9={0,3,6,9), 是 4 阶 子 群 。 

二 4 二 = 二 8 二 = 二 {0,4,8) ,是 3 阶 子 群 。 

二 6 二 ={0,6}, 是 2 阶 子 群 。 

定理 6.16 循环 群 的 子 群 是 循环 群 。 

证 明 设 G= 过 > 是 由 & 生成 的 循环 群 ,H 是 G 的 子 群 , 则 互 中 的 元 素 都 可 以 表示 
成 a 的 形式 , 且 当 ar*€EH, 有 a*EH。 车 及 ={e), 则 结论 显然 成 立 ;否则 设 r 二 min{k|k 二 
0,atE 昌 )}。 若 a"E, 不 妨 设 m 宇 0, 令 m= 二 rg 十 1,0 志 1 过 r,t,g€E ZZ。 如果 1t 关 0 则 a'= 
a”"。(a')™E 电 ,这 与 7 的 选取 即 r 是 最 小 的 矛盾 ,所 以 m 王 rg, 又 显然 对 任意 的 k,a" EE 
五 , 故 H=<a'>。 加 

定理 6.17 设 G 是 循环 群 ,G= 二 之 ,如 果 G 是 无 限 的 , 则 G 的 生成 元 为 a 和 a™!， 
如 果 G 是 有 限 阶 mm, 则 a* 是 G 的 生成 元 当 且 仅 当 (k,m) 二 1。 

思考 6.7 这 个 定理 是 否 “似曾相识 " 呢 ? 

这 个 可 以 视 为 前 面 学 到 的 定理 5. 10 的 一 般 化 。 

最 后 介绍 一 个 寻找 循环 群 的 生成 元 的 算法 。 


i 


算法 6.1 寻找 循环 群 的 生成 元 。 
输入 : n 阶 循环 群 G,n 的 素 因 子 分 解 n 二 ph ps%… pp 
输出 : G 的 一 个 生成 元 a。 
(1) 随机 选择 一 个 6 中 的 元 素 a。 
(2) 对 主 从 1 到 执行 以 下 计算 : 
计算 ban: 。 
如 果 b= 1 则 转 到 步骤 (1) 。 
(3) 返回 值 a。 


容易 看 到 ,该 算法 和 算法 5. 1 是 一 样 的 。 
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6.5.1 置换 群 的 概念 


设 S 是 一 个 非 空 集合 ,G 是 S 到 自身 的 所 有 一 一 对 应 的 映射 组 成 的 集合 , 则 对 于 映 
射 的 复合 运算 ,G 构成 一 个 群 , 叫 作对 称 群 ,也 称 为 全 置换 群 。 

对 称 群 的 单位 元 是 恒 等 映 射 。G 中 的 元 素 是 S 上 的 一 个 置换 。 

当 S 是 n 元 有 限 集 时 ,G 叫 作 n 元 对 称 群 , 记 作 S,。 

设 5S 二 {1,2,…,n}) 及 其 对 称 群 S, 中 的 元 素 o, 有 o:i>o(i)。 通 常 将 置换 e 写成 


( ¥ 2 | n ] i is i ,网 
c= 生 
o(1) cc(2) … oln—1) ol(n) oi1) oO(is) … oli) o(i,) 


例如 ， 
| 
”ls a me 1 (lil 
图 6.3 给 出 了 Go 映射 的 图 示 。 
~ AAA 
1 5 2 4 
we 
C) 
图 6.3 oa 映射 的 图 示 
例 6.52 如 果 S 是 3 元 有 限 集合 , 写 出 G,S;。 
、 (f123) [123) (123) 11231 [123) [123 本 
种 从 人 {128) :132) "(a3) aas G0 为 
映射 的 复合 运算 。 
123 123 123 123 123 
ce a i ee 
机 653 全 的 23): 32) (sa Ga) 网 


a .3] 
f= (ga “ 
单位 元 是 什么 ? i 的 逆 元 是 什么 ? 计算 .Po1s? fi 的 北 元 是 什么 ? 子 群 是 什么 ? 


正规 子 群 是 什么 ? 
解答 ”单位 元 是 广 , 广 的 逆 元 是 /1。 


有 a 出 = We 
a oj 213]- s2]- 


人 
i 12]- 志 
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注意 : 通常 复合 运算 先 做 右边 的 ,后 做 左边 的 。 另 外 ,容易 看 到 |G| 一 3! 一 6。 

Si 的 全 体 子 群 是 Hi 二 {fi}, Hs 二 {fi,f2},Hs 二 {fi,f3},Hi={fi,f1}, Hs= 
{f1,fs，fs},Hs 二 G。 平凡 子 群 是 Hl 和 Hs, 真子 群 是 昌 ;, HH, Hs。 正 规 子 群 是 Hi， 
晶 ; ,Hs , 非 正 规 子 群 是 H;, Hs, H,。 

| 2 … nn i 

例 6.54 设 眉 里 。 一 |， ee “= 人 we ’| 


nn 2 ln 


1234556 | 
例 6. SS = 人 
让 
@ 答 or= (634512) oss 
5 6 42 3 1\/12 34556 1 234556 
le ee ll 
1 2 3 4 5 6)/1234556 
wl 
人 
se 
了 
i 
容易 看 到 不 满足 交换 律 。 


定理 6.18 1S,| 二 n!1, 即 元 置换 全 体 组 成 的 集合 对 移 换 的 复合 运算 构成 一 个 群 ， 
其 阶 为 n1。 


证 明 置换 的 复合 运算 依然 是 置换 ,因此 满足 封闭 性 、 结 合 律 。 单 位 元 是 恒 等 羞 换 


lt oe -任意 四 换 。 一 |， “ja ， 中 
1 2 … nn 7 1 2 … nn 
此 ,S, 对 置换 的 复合 运算 构成 群 , 阶 为 n1。 国 


定义 6.23 5S, 及 其 任 一 子 群 称 为 集合 S 上 的 置换 群 。 

由 元 置换 构成 的 群 叫 作 元 置换 群 。 

例 6.56 设 c=(1,2,3) ,循环 群 G= 二 co 二 =={(1,2,3),(1,3,2),e} 是 3 元 置换 群 。 

思考 6.8 os=? 0=? 

路 二 (1,3,2) ,二 e, 即 单位 元 为 恒 等 置 换 T。 

直观 地 说 ,从 图 6.4 中 就 可 以 看 出 ,于 为 中 图 ,是 左 图 “步行 "两 步 后 的 结果 ,为 右 
图 ,是 左 图 “步行 ”3 步 后 的 结果 。 


一 一 A 1 之 
1 2 1 3 
2 
有 R py Li 
图 6.4 co ,os 映射 的 图 示 
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如 果 表 示 成 矩阵 形式 , 则 含义 更 加 明显 和 直观 。 


010 0101f010 001 0011f010 100 
= 00ll lI00Ll00l 二 1100l |100l001Is |010 
100 100 八 100 010 010 八 100 001 


定义 6.24 设 o€5,, 若 o 满 足 6(i)=is,o(is)=is ,0(ii1)= 二 ,0(i)= 二 ,其 
中 ,1<k<n, 且 保持 其 他 元 素 不 变 , 这 称 置 换 o 为 k 循环 或 者 k 轮换 , 记 为 
o= iinis) 
当 k 二 2 时 ,置换 (az ) 称 为 对 换 。 用 工 表示 恒 等 置 换 。 
两 个 循环 置换 中 如 果 不 存在 相同 的 元 素 , 则 称 这 两 个 循环 置换 互 不 相交 。 
1234556 
例 6.57 一 | 本 
定理 6.19 任意 一 个 置换 都 可 以 表示 成 一 些 不 相交 循环 置换 的 乘积 ,在 不 考虑 乘积 
次 序 的 情况 下 ,该 表达 式 是 唯一 的 。 
证 明 首先 证 明 ec 可 以 表示 为 循环 置换 的 乘积 。 
如 果 a(1) 二 1, 则 取 a 二 (1); 否 则 ,不 妨 设 o(1) 二 ,ol ) 二 is，… ,如 此 计算 下 去 , 由 
于 Go 是 nn 元 置换 ,存在 一 个 ,使 得 ol(i) 一 1。 这 样 取 
G2 = (lisiase is) 
这 是 一 个 循环 置换 。 如 果 & 二 n 一 1, 则 过 程 结 束 .co 二 0 ;否则 ,从 剩 下 的 元 素 中 取 最 小 的 ， 
采用 类 似 方法 得 到 一 个 循环 , 依 此 下 去 ,最 终 得 到 所 有 循环 置换 , 且 两 两 互 不 相交 。 
唯一 性 证 明 。 如 果 还 存在 另 一 个 分 解 , 则 会 出 现 某 个 元 素 映 射 到 不 同 元素 的 情况 ,这 
与 映射 的 定义 矛盾 。 图 
该 定理 可 以 这 样 直 观 的 理解 : 如 果 通 过 子 图 表示 置换 , 则 任意 一 个 置换 都 可 以 表示 
成 多 个 子 图 的 集合 ,每 个 子 图 表示 一 个 循环 置换 ,每 个 子 图 中 的 每 个 节点 都 是 入 度 为 1、 
出 度 为 1 。 
定理 6.20 任意 置换 都 可 以 分 解 成 若干 对 换 的 乘积 。 
证 明 由 于 任意 置换 都 可 以 表示 成 不 相交 的 循环 置换 的 乘积 ,所 以 只 需要 证 明 循环 
置换 可 分 解 为 若干 对 换 的 乘积 即 可 。 
& 一 3 时 ,有 


(CT ( 网 站 - ( : 站 -= i 
13 1211 z2 ?11 13 12 13 11 

依 此 类 推 ,可 以 证 明之 1 时 Gio wi) 二 (iG i) "(i is) (i is)。 
k=1 时 ,(i) = (i iz) (i is)。 国 
| 六 
652134 

思考 6.9 ”你 能 将 (i is) (i is) = (i is is) 用 图 形 表 示 出 来 吗 ? 

如 图 6. 5 所 示 , 三 循环 ( 左 图 ) 分 解 成 两 个 对 换 ( 中 图 ) 和 ( 右 图 ) 的 乘积 。 即 中 图 “ 步 
行 "一 步 , 然 后 右 图 “步行 ”一步 ,得 到 左 图 。 


=a 6 4)(2 5 3) 


例 6.58 -| j=-a 6 4)(2 5 3)=(]14)(] 6)(2 3)(2 5) 
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济 


es 


hb i b i i 
和 % ; 1 
AU 到 让 

“ 1 


6.5 将 三 循环 分 解 成 两 个 对 换 的 图 示 


定理 6. 21(Cayley 定理 ) 任 一 群 都 与 某 一 置换 群 同 构 。 

证 明 设 G 是 一 个 群 ,任意 acEG, 定 义 G 上 的 一 个 变换 ro ,re(z) 一 az,zEG。 由 群 
的 性 质 容易 验证 ra 是 集合 G 上 的 双 射 变换 , 即 rzET(G) ,这 里 T(G) 为 G 上 全 部 置换 构 
成 的 对 称 群 。 

定义 G 到 T(G) 的 映射 f: f(a) 一 ta,a€G。 

车 f(a) 二 f(0), 即 ta 一 tw, 所 以 a 二 ae 二 ta(e) 一 ww(e) 二 be 一 b(e 为 G 的 单位 元 ), 即 
4 一 0, 从 而 了 是 单 射 。 

任意 a,b,zEG,rarbg(z) 一 re(oz) 一 a(COz) 一 (ao)z 一 rab(z) ,所 以 rarb 一 rao, 此 即 
f(ab) 二 J/(a)/(5b)。 故 /是 一 个 群 同 态 映 射 。 容易 证 明 /的 像 /(G) 是 对 称 群 T(G) 的 一 
个 子 群 ,从 而 /(G) 是 一 个 置换 群 。 因 此 ,G 宇 /(G)<T(G)。 图 

该 定理 是 群 论 中 一 个 重要 定理 , 它 表 明了 任意 抽象 的 群 都 可 以 看 成 一 个 “具体 ”的 群 。 


6.5.2 置换 群 的 应 用 ” 


群 的 应 用 在 5. 3 节 和 5. 4 节 中 已 经 给 出 了 两 个 常见 的 重要 应 用 。 第 9 章 将 给 出 循环 
群 在 椭圆 曲线 上 的 构造 以 及 应 用 。 本 节 主 要 讨论 置换 群 在 转 轮 密码 机 中 的 应 用 。 

古典 密码 体制 实际 上 可 以 分 为 人 工 加密 和 机 械 加 密 两 种 。 从 19 世纪 20 年 代 开 始 ， 
人 们 逐渐 发 明 各 种 机 械 加 、 解 密 设 备用 来 处 理 数据 的 加 、 解 密 运算 ,最 典型 的 设备 是 转 轮 
密码 机 (rotor machine) 。 转 轮 密码 机 由 一 组 布线 轮 和 转 轮轴 组 成 的 灵巧 复杂 的 机 械 装 
置 ,可 以 实现 长 周期 的 多 表 代 换 , 且 加 密 和 解密 的 过 程 由 机 械 自动 快速 完成 。 

1918 年 发 明 德国 发 明 家 Arthur Scherbius 发 明了 名 叫 ENIGMA 的 转 轮 密码 机 , 意 
为 “ 谜 ”, 后 来 被 德国 为 了 第 二 次 世界 大 战 而 装备 军队 使 用 ,又 大 大 加 强 了 基本 设计 ?。 转 
轮 密码 机 的 使 用 极 大 地 提高 了 加 、 解 密 速度 ,同时 抗 攻 击 性 能 有 很 大 的 提高 ,在 第 二 次 世 
界 大 战 中 有 着 广泛 的 应 用 ,是 密码 学 发 展 史 上 的 一 个 里 程 碑 。 

转 轮 密码 机 由 一 个 输入 的 键盘 和 一 组 转 轮 组 成 ,每 个 转 轮 上 有 26 个 字母 的 输入 引 脚 
以 及 26 个 字母 的 输出 引 脚 ,输入 输出 关系 由 内 部 连 线 决定 。 以 简化 版 的 转 轮 密码 机 为 
例 ,假设 有 3 个 转 轮 ,从 左 到 右 分 别 为 慢 轮 子 . 中 轮子 、 快 轮子 (如 通过 齿轮 控制 )。 按 下 某 
一 键 时 ,键盘 输入 的 明文 电信 号 从 人 慢 轮子 进入 转 轮 密码 机 ,轮子 之 间 传 递 电信 号 ,最 后 从 
快 轮子 输出 密 文 。 每 次 按键 后 , 快 轮子 就 转动 一 格 ,这 样 就 改变 了 中 轮子 和 快 轮子 之 间 的 
对 应 关系 。 两 次 连续 按 A 键 ,得 到 的 密 文 结果 不 一 样 ,于 是 形成 多 表 代 换 关 系 。 图 6. 6 给 
出 其 原理 的 示意 图 ,图 6. 7 给 出 一 个 实例 。 在 首次 按 A 键 时 ,输出 下 ,输出 后 快 轮子 转动 


@ 另 一 个 著名 的 转 轮 密码 机 是 美军 的 Haglin 密码 机 ,是 瑞典 人 Haglin 发 明 的 ,在 第 二 次 世界 大 战 时 被 嚼 军 广 
泛 使 用 。 同 时 ,第 二 次 世界 大 战 时 日 军 的 “ 紫 密 "和 * 兰 密 "也 是 转 轮 密码 机 。 
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一 格 ,导致 中 轮子 和 快 轮子 的 接触 点 变化 ,再 通过 内 部 连 线 ,改变 了 输出 。 再 次 按 A 键 ， 
输出 为 B( 快 轮子 与 24 对 应 的 是 18,18 对 应 B) 。 


慢 轮 子 中 轮子 快 轮子 慢 轮 子 中 轮子 快 轮子 


(a) 按 A 键 时 的 状态 (b) 按 A 键 后 的 状态 
6.6 转 轮 密 码 机 原理 


1 1 1! | | 


A EE ER -Al2 2 引 | 2 上 下 和 
——B 引 | 中 |! 中 日 —— B|25- 3| | 1| | 18|B ——— 
Cc 1| lz 6| |2 四 加 —— clz\|) 15| |2 6| | 26| < 

D| 1| | 十 |3 26|D Dl 1 |: 4| | mlp 

上 19| | 1s| |4 DE—— El2 19| | 15| | 2E— 

F 10| |s 3 |s 20|F FB 10| | 3| | 22|F 

6 14| |5 14| |6 2|G Gla 14| | | jz il 

H 26| |7 中 | win HS 26| |7 12| | 引 n 

1 20| |s 3| |s 引 ! 1le 20| |s 23| |9 Bli— 

J 8 |9 引 |9 3| J $8| |9 5| | nl 

K wlio el io ng 日 16| | |wl ln 让 K 

L 引 | 2| | 让 [上 Le 了 | Iu 2| |2 || 33|L 

M 2| |2 十 2| | 2 十 23| Mo || 2| | 22| | 8 引 M 

N 四 四 四 wl |B sin Nl 4| [sf || Is || an 

o nu | ul | || zo ola | 上 oa [ul lis 引 o 

P| 引 lis is| |i 中 P Pl3 引 lis| |is| li 12|P 

oq D| Nie | | 2s| |i6 J ~i2| oo-— Ql || ml lie| |2s| lm |) slo 

R 引 Im | Atal | 25|R Rs 9| li | al is 16|R 

5 12| lis |((isl Its els sls || el 1s | (ls) les 19|s 

T 3| | 了 | | 一 一 "| T- 一 Tl || 2| | 20 6|T 

U 1 |20 || ml |20 可 U ul || 18| |20 || wl |21 四 加 

V 2| |21 8| | 2 iv viis 2| |21 allv 

wl 25| |2-| 2 |22 alw wao | ~25| |22 1| | 引 w 

X 6| | 引 |B 2|x x|21 6| | 9 引 x 

Y|2 一 24| |2 一 26| |24 |Y Ylz 一 24| la 26| |2s |Y 

z 3| | ml | 中 z zB Bl 可 | Hz 

慢 轮 子 ”中 轮子 快 轮子 慢 轮 子 “中 轮子 ”人 快 轮子 


图 6.7 转 轮 密 码 机 的 一 个 实例 


下 面 解 释 其 原理 。 每 个 转 轮 相 当 于 一 个 置换 。 多 个 转 轮 如 果 转 速 相 同 , 则 相当 于 一 
个 转 轮 ,还 是 一 个 置换 的 效果 。 快 轮子 转动 一 圈 ( 即 26 格 ) ,中 轮子 转动 一 格 ;中 轮子 转动 
一 圈 ( 即 26 格 ) , 慢 轮子 转动 一 格 。 由 于 多 个 转 轮 的 转速 不 一 样 , 转 轮 之 间 的 对 应 关系 在 
每 次 按键 后 均 改 变 , 形 成 了 “多 表 代 换 ”。 第 二 次 世界 大 战 期 间 阿 兰 。 图 灵 (Alan 
Turning) 参 与 了 英国 政府 的 破译 行动 ,成 功利 用 Enigma 使 用 上 的 缺陷 破译 了 密码 ,一定 
程度 上 改变 了 战争 的 局 势 。 

思考 6.10 ”轮子 的 转动 是 在 改变 代 换 方式 吗 ? 

如 果 把 轮子 的 转动 导致 的 轮子 间 映 射 关系 的 改变 视 为 代 换 (substitution) ,把 轮子 内 
部 的 连 线 视 为 置换 (permutation) , 则 转 轮机 其 实 就 是 后 来 在 DES 分 组 密码 中 用 到 的 代 
换 置 换 网 络 (SP 网 络 ) 的 雏形 ,可 能 是 Shannon 后 来 提出 设计 密码 的 混淆 思想 和 扩散 思 
想 的 源泉 。 转 轮机 中 的 多 个 转 轮 提高 了 安全 性 ( 增 大 了 密 钥 空 间 ), 也 可 能 是 后 来 
Shannon 提出 的 乘积 密码 的 源泉 。 

分 组 密码 (如 DES 和 AES) 的 设计 中 ,都 大 量 使 用 了 置换 操作 。 
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[1] 正 整数 集 N 对 运算 a. 4b 二 a 十 b 十 a5, 是 否 构成 半 群 、 么 半 群 . 群 ? 请 说 明理 由 。 
[2] 证 明 : 群 G 是 交换 群 的 充 要 条 件 是 对 任意 a ,bEG, 有 (ab)? 一 a?b?。 
[3] 2 一 7, 构 造 乘 群 FE. 一 F,\{0} 的 乘法 表 和 加 群 Z/(p 一 1)Z 的 加 法 表 。 
[4] 证 明 : 在 任意 群 内 ,下 列 各 组 中 的 元 素 有 相同 的 阶 : 
(a 
(2) ab 与 ba。 
(3) a 与 cac™!。 
(4) abc ,bca,cab。 
[5] 证 明 : 群 G 的 两 个 子 群 的 交集 是 G 的 子 群 。 
[6] 证 明 : 如 果 p 是 一 个 素数 , 则 阶 为 加 的 群 一 定 有 一 个 阶 为 p 的 子 群 。 
[7] 四 次 对 称 群 S, 的 一 个 4 阶 子 群 为 : H=={(1),(12)(34),(13)(24),(14)(23)}， 
出 五 的 全 部 左 陪 集 。 
[8] 证 明 : 如 果 在 一 阶 为 2n 的 群 中 有 一 阶 子 群 , 它 一 定 为 正规 子 群 。 


[9] 证 明 ; 设 开 .K 是 有 限 群 G 的 子 群 , 则 | HK | 一 -HT . 


< K 
[10] 证 明 : 设 p 是 一 个 素数 , 则 任意 两 个 p 阶 群 都 同 构 。 

[11] 证 明 : 设 G= 二 a 二 是 阶 循环 群 , 则 G==<a’ 二 ,这 里 (7,n) 二 1。 

[12] 证 明 : 若 G 是 一 个 群 , 令 G” = 二 {a"|a€G}, 当 G 是 循环 群 时 , 则 对 任意 正 整 数 


m,G'" 均 是 G 的 子 群 。 
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[13] 证 明 : 车 G 是 一 个 n 阶 循环 群 ,kln, 则 G 有 和 且 仅 有 一 个 k 阶 子 群 。 

[14] 证 明 : 设 p 是 奇 素数 , 则 乘 群 F; 二 F,\{0) 是 同 构 于 加 群 Z/(p 一 1)Z 的 循环 群 。 
[15] 设 G= 过 a 二 为 6 阶 循环 群 , 求 G 有 几 个 生成 元 ? 几 个 子 群 ? 试 写 出 所 有 生成 
子 群 。 

[16] 将 置换 (456)(567)(671)(123)(234)(345) 表 示 为 不 相交 循环 乘积 。 


四 12345 6 12345 6 
name=[ ] -| ECR 


Tt 
23456 1 53426 1 
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第 6 章 介绍 的 群 是 只 有 一 种 运算 的 代数 系统 ,本 章 考虑 具有 两 种 运算 的 代数 系统 。 
本 章 的 重点 是 环 和 域 的 概念 ,难点 是 多 项 式 环 和 多 项 式 域 。 


7.1 环 


7.1.1 环 的 概念 


定义 7.1 设 R= 二 S,ol,o*>,S 是 具有 两 种 运算 (o 和 os) 的 非 空 集合 ,如 果 : 

(1) 过 S,ol 二 构成 一 个 交换 群 。 

(2) 一 S,os 二 构成 半 群 。 

(3) ol ,os 满足 分 配 律 (distributive law) , 即 对 任意 ac,o,cES, 有 

(a ol bg)ooc 一 aoscobosc( 右 分 配 律 ) 
aor(orc) 一 aogpboaosc( 左 分 配 律 ) 

则 RR 称 为 环 (ring) 。 

在 群 中 ,按照 群 的 不 同性 质 对 群 进行 了 分 类 。 下 面 给 出 对 环 的 分 类 (主要 考察 对 第 二 
种 运算 是 否 满足 交换 律 .单位 元 、. 逆 元 存在 性 ) 。 

首先 ,按照 环 对 os 是 否 满足 交换 律 ,可 以 将 环 分 成 可 换 环 和 非 可 换 环 。 

定义 7.2 若 环 尺 中 过 S,o 二 构成 交换 半 群 , 则 尺 称 为 交换 环 或 可 换 环 (communicative 
ring) 。 

其 次 ,通过 对 环 内 元 素 是 否 有 限 ,可 以 将 环 分 为 有 限 环 和 无 限 环 。 

定义 7.3 只 包含 有 限 个 元 素 的 环 称 为 有 限 环 ,其 元 素 的 个 数 称 为 该 环 的 阶 ;否则 ， 
称 环 为 无 限 环 。 

而 通过 对 环 内 单位 元 是 否 存在 进行 考察 ,下 面 将 引入 含 么 环 的 概念 。 

定义 7.4 若 环 内 存在 一 个 元 素 e, 对 环 内 任意 元 素 a 均 有 ea 一 a. 则 称 e 为 环 a 的 左 
单位 元 ; 同 理 ,车 有 ae 二 a, 则 称 e 为 环 a 的 右 单位 元 。 当 左 单位 元 等 于 右 单 位 元 时 , 合 称 
该 元 素 e 为 单位 元 。 

定义 7.5 若 环 尺 中 二 S,o* 过 构成 独 异 点 , 则 尺 称 为 有 单位 元 的 环 ( 也 称 为 含 么 环 ) 。 

环 内 可 能 不 存在 左 单位 元 ,也 可 能 不 存在 右 单 位 元 。 但 若 一 个 环 既 有 左 单位 元 又 有 
右 单 位 元 , 则 左 单位 元 必然 是 右 单 位 元 。 
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例 7.1 二 Z, 十 ,* 二 是 一 个 有 单位 元 的 交换 环 。 一 Z, 十 二 是 交换 加 群 , 零 元 为 0,a 
的 负 元 为 一 a。 十 ,* 满足 分 配 律 。 二 Z,， 二 是 半 群 。 因 此 ,二 Z, 十 ,，* 过 是 一 个 环 。 而 
且 , 二 Z,* 之 具有 单位 元 1, 且 ， 满足 交换 律 。 因 此 ,是 有 单位 元 的 交换 环 。 

例 7.2 天 Z, 十 ,。>、<Q, 十 ,。 二 天 R, 十 ,。 二 .<C, 十 ,。 二 分 别 是 整数 环 , 有 
理 数 环 、 实 数 环 、 复 数 环 。 这 4 个 环 均 由 数 的 集合 组 成 ,也 称 为 数 环 。 

例 7.3 设 集合 Z[ 让 二 {a 十 bila,5EZ), 对 加 法 和 乘法 运算 ,构成 环 , 称 为 高 斯 整 
数 环 。 

例 7.4 模 m 剩余 类 加 法 和 乘法 构成 一 个 剩余 类 环 一 Z, ,十 ,* 二 。 

例 7.5 偶数 环 一 2Z, 十 ,。 二 是 交换 环 , 但 不 是 含 么 环 。 

例 7.6 是 一 个 偶数 ,二 nZ, 十 ,* 二 是 交换 环 ,但 没有 单位 元 。 

例 7.7 数 域 F 上 的 阶 方 阵 的 全 体 关于 和 矩阵 的 加 法 和 乘法 构成 一 个 环 , 称 为 F 上 
的 n 阶 方 列 环 , 记 为 M, (F)。 这 个 环 含 么 环 ,单位 元 为 n 阶 单位 矩阵 ,不 是 交换 环 。 

下 面 按照 零 因子 是 否 存在 ,可 以 将 环 分 为 零 因 子 环 和 无 零 因 子 环 。 

定义 7.6 设 R= 二 5S, 十 ,， 二 是 一 个 环 ,如 果 存 在 a,5E S, 满 足 a 关 0,6 取 0, 但 a，b= 
0(0 为 加 法 单位 元 , 即 零 元 ), 则 称 环 R 为 有 零 因 子 环 , 称 a 为 R 的 左 零 因子 (left zero 
divisor) ,0 为 R 的 右 零 因子 (right zero divisor) ,否则 称 RR 为 无 零 因 子 环 。 若 a 既是 左 零 
因子 又 是 右 零 因子 , 则 称 a 为 零 因子 (zero divisor)。 环 内 既 不 为 左 零 因子 又 不 为 右 零 因 
子 的 元 素 , 称 为 正则 元 。 

例 7.8 整数 环 <Z, 十 ,， 二 、 有 理 数 环 二 Q, 十 ,， 二 .实数 环 二 R, 十 ,，* 二 ,复数 环 
<<C, 十 ,。> 均 为 无 零 因子 环 。 

例 7.9 对 于 合 数 , 模 nn 剩余 类 环 一 Z, ,十 ,* 二 为 有 零 因 子 环 。 零 因子 为 nn 的 约 数 
或 nn 的 约 数 的 倍数 。 

例 7. 10 对 于 素数 p, 模 p 剩余 类 环 二 Z, ,十 ,。 过 为 无 零 因子 环 。 

例 7.11 二 Z/6Z={0,1,2,3,.4,5), 十 (mod 6),。 (mod 6) 二 是 一 个 有 零 因子 环 , 因 
为 2. 3 二 0, 左 零 因 子 是 2, 右 零 因子 是 3。 同时 ,3。2 一 0, 因 此 2 也 是 右 零 因子 ,3 是 左 零 
因子 。 因 此 ,2,3 都 是 零 因 子 。 类 似 地 ,4 也 是 零 因子 。 

例 7.12 若 a 是 R 的 左 零 因子 .一 般 a 未 必 同 时 是 R 的 右 零 因子 。 例 如 ,特殊 矩 


阵 环 
R= 全 “| sss 9 


对 于 和 矩阵 乘法 运算 左 零 因子 未 必 是 右 零 因子 。 
例 7.13 若 尺 是 交换 环 , 则 尺 的 每 个 左 (或 右 ) 零 因子 都 是 零 因子 。 
定理 7.1 在 无 零 因子 环 中 ,乘法 消去 律 成 立 , 即 非 空 集合 中 任意 4a,b,c,a 取 0, 有 


a*b=a*cb=e 


bea=c*ab=e 
证 明 因为 a* 6 二 a*c, 所 以 a* (5 一 c) 二 0。 由 于 a 关 0 且 不 为 零 因 子 ,可 得 4b 二 c， 
满足 左 消去 律 。 同 理 可 得 , 右 消去 律 也 成 立 。 因 此 ,在 无 零 因子 环 中 ,乘法 消去 律 成 立 。 
国 
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定义 7.7 有 单位 元 的 无 零 因子 的 交换 环 叫 作 整 环 (integral domain) 。 

例 7.14 整数 环 <Z, 十 ,。 之 有理 数 环 <Q, 十 ,. 二 ,实数 环 二 R, 十 ,* 二、 复数 环 
<C, 十 ,> 都 是 整 环 ,而 2Z( 偶 数 环 ) 虽 然 无 零 因 子 , 且 可 交换 ,但 没有 单位 元 , 故 不 是 整 
环 ,Z, (7 为 合 数 ) 虽 然 有 单位 元 ,可 交换 ,但 有 零 因 子 , 故 不 是 整 环 。 

定义 7.8 当 环 R 有 以 下 特征 时 , 环 R 叫 作 除 环 。 

(1) R 中 至 少 包 含 一 个 非 零 元 ( 即 R 中 至 少 有 两 个 元 素 )。 

(2) R 有 单位 元 。 

(3) R 的 每 一 个 非 零 元 有 逆 元 。 

注意 : 除 环 的 概念 中 ,没有 要 求 满足 乘法 交换 律 。 

其 实 , 除 环 就 是 指环 中 非 零 元 在 乘法 运算 下 构成 群 。 

下 面 的 例子 是 历史 上 的 第 一 个 非 交 换 除 环 , 它 于 1843 年 首次 由 哈密 顿 提 出 。 

例 7.15 D={ae .1 十 和 十 cj 十 dla,bocsdER} ,其 中 也 中 的 元 素 记 为 四 元 数 。G 一 
人 1 一 1 一 人 一 六 一 上 也 ,规定 G 的 乘法 如 下 。 


| k 
1 1 . n 
| k 
一 一 1 
交 k 3 a = 


G 对 于 上 述 乘法 作成 一 个 群 。 

在 此 基础 上 ,对 四 元 数 加 法 与 乘法 运算 作出 以 下 规定 。 

(1) a 十 azi 十 a3j 十 ask 二 i 十 bzi 十 bs3j 十 bsk 当 且 仅 当 对 应 系数 相等 时 才 成 立 。 

(2) (aitazitasjtak)+ (bbit6j+bk) = (a 十 1 ) 十 (az 十 bz )i 十 (as 十 bs)j 十 
(Cas +b)k, 

(3) (ai tazsitasjtask) * (btbitbsjtbhk) = ab 一 ap 一 at 一 ab ) 十 (ap 十 
azbi 十 as 一 a4p03)i 十 (aipbs 十 asb 十 ap 一 azp)7 十 (ab 十 ap 十 azps 一 aspb2 )R。 

根据 上 述 运 算 规则 ,D 是 一 个 无 限 非 交换 四 元 数 除 环 ,单位 元 为 1。 

四 元 数 在 几何 、 物 理 等 领域 有 大 量 的 应 用 。 

下 面 看 看 整 环 和 除 环 的 差异 。 

定理 7.2 除 环 没有 零 因 子 。 

证 明 假设 环 尺 是 一 个 除 环 ,a 是 R 中 的 元 素 且 wa 天 0, 若 有 一 元 素 4 使 得 ap 一 0, 则 
0 一 (ala)0 一 ai(a0) 一 0, 故 尺 内 无 零 因 子 。 国 

除 环 不 一 定 是 整 环 ,交换 除 环 是 整 环 , 整 环 不 一 定 是 除 环 。 

例 7.16 整数 环 是 整 环 , 非 零 元 除 1 和 一 1 外 均 没 有 道 元 , 故 不 是 除 环 。 

定义 7.9 如 果 交 换 环 R 对 于 加 法 构成 一 个 交换 群 ,R* 一 R\{0) 对 于 乘法 构成 一 个 
交换 群 , 则 交换 环 R 为 一 个 域 。 

例 7.17 设 p 是 素数 , 则 二 Z, ,十 (mod p),， (mod 记 ) 二 是 域 。 

例 7.18 Q(V2) 二 {fatbV2la,bEQ}: 则 二 Q(Y2): 十 ,* 二 是 域 。 
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思考 7.1 如 何 求 出 Q(V2) 中 任意 元 素 的 乘法 逆 元 。 

下 面 看 看 除 环 与 域 的 差异 。 

定义 7.10 交换 除 环 叫 作 域 (field) 。 

例 7.19 哈密 顿 非 交 换 除 环 不 是 域 。 有 理 数 集 Q、 实 数 集 R、 复 数 集 C 关于 数 的 加 
法 和 乘法 都 构成 域 。 

由 上 述 定义 知 , 除 环 与 域 的 差异 在 于 乘法 ( 即 第 二 种 运算 ) 是 否 满足 交换 律 。 域 一 定 
是 除 环 , 除 环 不 一 定 是 域 , 交 换 除 环 是 域 。 域 可 视 为 除 环 的 特例 。 

下 面 看 看 整 环 与 域 的 差异 。 

域 一 定 是 整 环 , 整 环 不 一 定 是 域 ,但 有 限 整 环 一 定 是 域 。 

定理 7.3 域 一 定 是 整 环 。 

证 明 域 满足 乘法 交换 律 ,是 交换 环 , 且 乘法 有 单位 元 ,是 含 么 环 ,下 面 主要 证 明 无 堆 
因子 。 

若 集合 中 任意 两 个 元 素 ab 二 0, 且 ea 天 0, 于 是 au 存在 逆 元 ac- ,有 

b=a ab 三 ti0=0 

于 是 无 零 因子 , 故 为 整 环 。 国 

上 述 证 明 即 通过 可 逆 性 推出 无 零 因子 。 

定理 7.4 有 限 整 环 一 定 是 域 。 

证 明 设 民 为 一 个 含有 ?7 个 元 素 的 整 环 ,元 素 为 aa ,…,a。 设 S 中 任 一 非 零 元 
a ,考察 aal ,aas，… ,aas 这 n 个 结果 必然 两 两 不 同 ; 否 则 

aai = aaj 

则 alaj 一 aj) 二 0,R 是 整 环 且 a 关 0, 于 是 a; 一 aj 二 0, 即 a 二 a;。 因 此 ,这 个 结果 恰好 为 
R 的 全 部 元 素 , 于 是 其 中 必 有 乘法 单位 元 , 即 必 有 ai 使 得 aa; 二 1。 这 就 说 明 有 限 整 环 尺 
中 的 每 个 非 零 元 都 有 道 元 , 故 R 为 域 。 国 

上 述 证 明 主 要 关注 的 是 整 环 与 域 的 差异 性 , 即 通过 元 素 的 有 限 性 推出 非 零 元 的 乘法 
道 元 存在 。 域 可 视 为 整 环 的 特例 。 

定义 7.11 只 包含 有 限 个 元 素 的 域 称 为 有 限 域 ,其 元 素 的 个 数 称 为 该 域 的 阶 。 有 限 
域 又 叫 伽 罗 瓦 域 (Galois field) 。 

有 理 数 集 Q 实数 集 R、 复 数 集 C 关 于 数 的 加 法 和 乘法 都 构成 域 ,但 不 是 有 限 域 。 

为 了 便于 理解 和 记忆 , 表 7.1 给 出 了 上 述 概 念 之 间 的 递 进 关系 。 非 正式 地 ,图 7.1 给 
出 了 环 概念 的 “进化 完善 "过程 。 

表 7.1 环 概念 之 间 的 “ 递 进 " 关 系 


=<S,0,0:> <S,o> <S,0> O1102 
环 交换 群 | 半 群 分 配 律 
交换 环 交换 群 | 交换 半 群 分 配 律 
有 单位 元 的 环 交换 群 | 独 异 点 分 配 律 
有 单位 元 的 交换 环 | 交换 群 | 交换 独 异 点 分 配 律 
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续 表 
二 S,ol ,oz <S,o> <S,0> 01,02 


无 零 因子 环 交换 群 | 无 零 因子 半 群 分 配 律 


整 环 交换 群 | 无 零 因子 交换 独 异 点 分 配 律 


除 环 交换 群 | 有 非 零 元 , 且 非 零 元 有 逆 元 的 独 异 点 ,或 者 一 S\{0},o*> 为 群 | 分 配 律 


域 交换 群 | 二 S\{0) ,oz > 为 交换 群 分 配 律 


环 <S, ou oj>= 交换 群 <S, ol> + 半 群 <S, o>> + 分 配 律 01, 0> 

交换 环 <S, ol, oy> = 交换 群 <S, oj> + 交换 半 群 <5, o> + 分 配 律 01, 0， 

有 单位 元 的 环 <S, o, o>> = 交换 群 <S, 01> + 独 异 点 <S, o>> + 分 配 律 01, oa 

有 单位 元 的 交换 环 <S, ol, oz> = 交换 群 <S, ov> + 交换 独 异 点 <S, 0,> + 分 配 律 ou, 0 

无 零 因 子 环 <S, 01, 0;> = 交换 群 <S, ou> + 无 零 因 子 半 群 <S, oy> + 分 配 律 01, o? 

整 环 <S, ol ov> = 交换 群 <S, 01> + 无 零 因子 交换 独 异 点 <5, oy> + 分 配 律 ov o> 

除 环 <5, ol, o>> = 交换 群 <S, ol> + <S\{0}, 0> 为 群 + 分 配 律 01, o 

域 <S, ou 0,> = 交换 群 <5, 01> + <5S\{0}, o>> 为 交换 群 + 分 配 律 ov， oz= 交 换 除 环 = 有 限 整 环 


半 群 <$, o>> 交换 格 <5 , 01> 分 配 律 01, 0 


环 


<S， 有 单位 元 <5, o>> 无 零 因 子 <S\f0},o>> 为 群 


一 
有 单位 元 的 环 无 零 因 子 环 交换 环 <5S\{0}, 02> 为 交换 群 


有 单位 元 的 交换 环 
整 环 ”|5 有 限 
Me 


域 域 域 
图 7.1 环 的 “进化 完善 ?过 程 示意 图 


例 7.20 一 个 典型 的 域 是 <F, ,十 ,， 二 。 二 F, ,十 二 为 一 个 交换 群 。<FE\{0}, 二 
为 一 个 交换 群 。 图 7. 2 给 出 了 其 运算 表 。 


十 0 1 
0 0 1 
0 
0 1 
0 0 

1 0 


图 7.2 域 <F, ,十 ,* 二 的 运算 表 


例 7.21 域 <F; ,十 ,。 >。<F;s, 十 二 为 一 个 交换 群 。 二 Fs\{0},， 二 为 一 个 交换 
群 。 图 7.3 给 出 了 其 运算 表 。 
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本 0 1 2 3 4 
0 0 1 1 4 
1 1 2 3 4 0 
2 3 4 0 1 
3 3 4 0 1 2 
4 4 0 1 此 3 

0 1 2 3 4 
0 0 0 0 0 0 
1 0 2 3 4 
2 0 2 4 1 3 
3 0 3 1 4 2 
4 0 4 3 要 1 


7.3 域 <F; ,十 ,* 二 的 运算 表 


7.1.2 环 同 态 \ 环 同 构 


同 态 以 及 同 构 概 念 的 引入 ,是 基于 建立 与 代数 运算 相关 联 的 映射 概念 。 第 6 章 定义 
了 群 同 态 和 群 同 构 。 下 面 定义 表明 , 同 态 概念 可 以 扩展 到 环 。 

定义 7.12 设 R,R' 是 两 个 环 ,如 果 /满足 下 列 条 件 , 称 映射 /: RR' 为 环 同 态 。 

(1) 对 任意 的 a,b ER, 都 有 f(at+6b) 王 f(a) 十 f(6)。 

(2) 对 任意 的 a,b ER, 都 有 f(ab) 二 f(a)f(6)。 

如 果 了 是 一 对 一 的 , 则 称 /为 单 同 态 ; 如 果 f 是 满 的 , 则 称 f 是 满 同 态 ;如 果 f 是 一 
一 对 应 的 , 则 称 /为 同 构 。 

定义 7.13 设 R,R' 是 两 个 环 ,如 果 存 在 一 个 R 到 R’ 的 同 构 , 则 称 R 与 R' 同 构 。 

定义 7.14 设 R 是 一 个 环 ,如 果 存 在 一 个 最 小 正 整数 使 得 对 任意 a ER, 都 有 na 一 
0, 则 称 环 R 的 特征 为 n, 记 为 char(R) 二 n; 如 果 不 存 在 这 样 的 正 整数 , 则 称 环 尺 的 特征 为 
零 , 记 为 char(R) 一 0。 

容易 看 到 , 环 特征 概念 用 于 刻画 非 零 元 作 加 法 多 少 次 可 以 得 到 加 法 单位 元 ,类 似 于 乘 
法 运算 中 阶 的 概念 。 

例 7.22 在 数 环 中 , 除 {0} 以 外 的 其 余 所 有 元 素 的 特征 均 为 无 穷 ,如 char(Z) 一 0， 
char(Q) 二 0。 模 p 同 余 类 环 char(Z, ) 一 户 。 

定理 7.5 设 R 为 一 整 环 , 则 char(R) 王 0 或 者 char(R) 二 p, 其 中 为 一 素数 。 

证 明 RR 为 整 环 .于 是 1 ER, 二 1 为 <R, 十 二 的 循环 子 群 。 

(1) 二 1 二 为 无 限 循环 子 群 。 对 R 中 任意 非 零 元 a ,二 oa 之 也 是 无 限 循环 子 群 ;否则 ， 
车 | 二 a 之 |=m 二 十 o, 则 


724 一 0 
即 m，1* a 二 0, 由 于 a 关 0, 且 RR 无 零 因 子 , 故 m， 1 二 0, 于 是 ord(1)|m, 这 与 二 1 请 为 无 
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限 循 环 子 群 矛盾 。 故 | 一 a>|= 十 co,char(R) 一 0。 

(2) 过 1 二 为 有 限 循 环 子 群 。 设 ord(1) 一 户 , 则 为 素数 ;否则 , 整 环 尺 中 至 少 有 0 和 
1 两 个 元 素 , 所 以 之 2。 若 p 之 2 不 是 素数 , 令 p= 二 jk,1<j,k<=p,j,kEZ, 则 

0=p*1= GOk).1=0G. Dk.1) 

由 于 尺 无 零 因子 ,}* 1 二 0 或 者 &* 1 二 0, 于 是 ord(1) 一 ) 或 者 &, 均 小 于 p, 这 与 ord(1) 一 
户 矛 盾 。 故 p 为 素数 。 

对 尺 中 的 任意 非 零 元 c ,有 pa 一 (p*，1)* a 一 0，a 一 0, 于 是 char(R) 一 p。 图 

推论 7.1 整 环 R 的 加 法 群 中 每 一 非 零 元 的 阶 或 都 为 无 穷 ,或 都 为 一 素数 。 

推论 7.2 整 环 R 的 特征 即 为 单位 元 “1” 在 R 的 加 法 群 中 的 阶 。 

定理 7.6 设 R 是 有 单位 元 的 交换 环 ,如 果 环 R 的 特征 是 素数 p, 则 对 任意 a,bE 
尺 ,有 

(aa 十 0)2 =asi+bhe 


证 明 (az Ho 一 w+ 吕 二 本 yb 


p 为 素数 ,k= 二 1,2,…,p 一 1, 因 此 (p,k1(p 一 k)1) 1, 于 是 pa ee SE 国 


7.1.3 子 环 、 理 想 


子 群 概念 的 自然 推广 可 以 得 出 子 环 、 扩 环 的 概念 。 
定义 7.15 设 R' 是 环 R 集合 的 非 空子 集 ,如 果 对 于 环 R 的 运算 ,R' 也 构成 一 个 环 ， 
则 尽 ' 叫 作 尽 的 子 环 ,R 叫 作 R' 的 扩 环 (extension ring) , 记 为 R'<R。 
根据 定义 , 环 内 子 集成 为 子 环 需要 满足 代数 运算 的 封闭 性 ,这 一 点 与 子 群 类 似 。 下 面 
的 定理 就 是 对 环 内 加 法 和 乘法 运算 封闭 性 的 描述 。 
例 7.23 整数 集 忆 是 有 理 数 集 Q 的 子 环 ,Q 是 实数 集 R 的 子 环 ,R 是 复数 集 C 的 子 
环 ,nZ 是 Z 的 子 环 。 
定理 7.7 环 尺 的 非 空子 集 尺 "是 子 环 的 充分 必要 条 件 是 
abE Ra—bER’ 
abE Rab ER’ 
容易 看 到 ,由 条 件 1, 根 据 子 群 判 定 条 件 , 说 明 对 于 加 法 运算 而 言 ,R' 是 RR 的 子 群 ,因而 是 
一 个 交换 群 。 由 条 件 2, 说 明 乘法 运算 是 封闭 的 ,结合 律 和 分 配 律 显然 成 立 ,因此 R' 是 尺 
的 子 环 。 
例 7.24 Q(V23) 二 {atbV2) 是 (R, 十 ,，) 的 子 环 。 
例 7.25 模 6 的 剩余 类 环 Zs 的 子 环 是 {[0],[2],[4])。 
例 7.26 模 12 的 剩余 类 环 Zi: 关 于 加 法 是 循环 群 ,其 子 环 关 于 加 法 是 子 循环 群 ,全 
部 子 环 如 下 : 
Si = QS = (00,2 [C46 io Ss = {0 [3] 6] [9 
= {[0j,[4],[L8]}, Ss = {[0],[6])，Se = {[0J} 
思考 7.2 环 内 单位 元 的 存在 性 和 子 环 内 单位 元 的 存在 性 之 间 有 关系 吗 ? 
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事实 上 , 环 内 单位 元 是 否 存 在 以 及 取 值 、 子 环 内 单位 元 是 否 存在 以 及 取 值 之 间 没 有 关 
系 。 所 以 ,即使 环 与 它 的 子 环 均 具有 单位 元 ,单位 元 也 未 必 相 同 。 

下 面 引 入 理想 的 概念 。 环 内 理想 可 以 理解 为 群 内 正规 子 群 概念 的 自然 推广 。 

定义 7.16 设 R 是 一 个 环 ,R' 是 环 内 一 个 子 加 群 , 取 R 内 任意 元 素 r, 取 R' 内 任意 元 
素 玉 ,如 果 rr ER', 则 称 R' 为 环 R 的 一 个 左 理想 (left ideal) ,此 时 R' 满 足 左 吸收 律 。 同 
理 , 当 xrrER’, 则 称 R' 为 环 R 的 一 个 右 理想 ,此 时 R' 满 足 右 吸收 律 。 当 左 理想 等 于 右 理 
想 时 , 称 R' 为 环 R 的 理想 (ideal) , 记 为 R'4R。 

在 交换 环 中 , 若 环 R 具有 左 理想 , 则 左 理想 一 定 为 右 理想 。 

例 7.27 3Z 是 整数 环 Z 的 理想 。 

例 7.28 mmZ 二 {mk|kEZ) 是 整数 环 Z 的 理想 。 

例 7.29 F[z] 为 数 域 了 上 的 一 元 多 项 式 环 ,TI 一 {az 十 coz 十 … 十 anz"| wEF， 
n€EN), 即 I 是 由 所 有 常数 项 为 0 的 多 项 式 构成 的 集合 , 则 工 是 F[z] 的 理想 。 

例 7.30 模 n 剩余 类 环 Z 有 T() 个 理想 ,其 中 将 分 解 成 ph ps ph…p% 的 形式 ， 
TO) 二 (有 十 1 (ks 十 1) (ks 十 1)…(k, 十 1)。 容 易 看 到 ,T(n) 等 于 nn 的 约 数 的 个 数 。 

定义 7.17 在 |R| 二 1 的 环 尺 内 ,{0} 记 为 零 理 想 ,R 自身 记 为 单位 理想 。 零 理想 和 
单位 理想 统称 为 平凡 理想 。 不 为 零 理 想 或 者 单位 理想 的 理想 , 记 为 非 平凡 理想 。 

定义 7.18 有 且 仅 有 平凡 理想 的 非 零 环 记 为 单 环 。 

定义 7.19 设 R 是 一 个 环 ,T 是 R 的 一 个 非 空 子 集 , 则 将 R 中 所 有 包含 T 的 理想 的 
交集 记 为 由 卫生 成 的 理想 , 记 为 <T 二 。 特 别 地 , 当 T 二 {a} 时 ,将 二 T 二 记 为 <a 二 并 记 
为 由 a 生成 的 主 理想 。 

例 7.31 2Z 和 3Z 是 Z 的 两 个 理想 ,2Z 门 3Z 二 6Z 也 是 Z 的 理想 。6Z 和 8Z 是 Z 的 
两 个 理想 ,6Z 门 8Z 二 24Z 也 是 Z 的 理想 。 

例 7.32 二 T 二 是 R 中 包含 T 的 最 小 理想 。 

例 7.33 有 理 数 集 上 的 多 项 式 QLzj] 中 ,包含 因子 zx? 一 3 的 所 有 多 项 式 构成 的 集合 
{(z? 一 3)p(zx)1p(x) EQ(z)} 是 Q[x] 的 主 理想 ,是 zx? 一 3 生成 的 理想 , 即 过 x? 一 3 二 = 
{(z*—3)p(z) 1p(r) EQGCz))。 

例 7.34 QLz] 中 ,所 有 常数 项 为 零 的 多 项 式 构成 的 集合 是 QL[z] 的 主 理想 , 即 由 xz 生 
成 的 ,二 xz 这 ={zp(zx) | p(x) EQCz) }。 

下 面 对 二 a 二 中 元 素 的 形式 进行 考察 。 

定理 7.8 设 尺 是 一 个 环 ,a 是 R 中 任意 元 素 , 则 =a 二 ={(zi ay 十 … 十 zw ayw) 十 
sa 十 at 十 ma| VziyyostER,VzEZ,YmEN}。 

例 7.35 由 元 素 a 生成 的 理想 [= 二 a 二 ={rae 十 xdelr ER,n€EZ) 是 包含 a 的 最 小 理 
想 。 因 为 包含 a 的 理想 一 定 包含 所 有 a 的 倍 元 re 和 》) 土 a = na, 从 而 包含 所 有 ra 十 
na, 同 时 ,容易 验证 {ra 十 nalrER,n€EZ) 构 成 R 的 一 个 理想 。 

例 7.36 当 R 是 交换 环 时 ,二 a 二 {rat+na | rER,nEZ)。 

例 7.37 当 尺 有 单位 元 “1? 的 交换 环 时 ,一 na 过 一 {ra | rER}。 原 因 是 ra 十 na 二 
ra 十 (2。1)a 一 (r 十 2。1)a 一 ra 。 
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例 7.38 对 于 整数 环 Z, 理 想 二 "之 就 是 由 所 有 亲 的 倍数 组 成 。 二 ?二 一 ?2Z 一 人 orl 
rEZ} 是 乙 的 主 理想 。 对 于 F[z] 为 数 域 F 上 的 一 元 多 项 式 环 ,<z>> 一 {aiz 十 aaz 十 … 十 
aaza| a EFnEN}, 

定理 7.9 整数 环 Z 中 任 一 理想 都 是 主 理想 。 

证 明 设 I 是 Z 的 理想 ,不 妨 设 1 是 1 中 最 小 的 正 整数 ,这 是 一 定 存 在 的 。 因 为 I 是 
理想 ,所 以 对 于 任意 1€1, 有 一 1LET, 而 正 整 数 集合 的 任意 子 集 必 存 在 最 小 正 整数 。 任 取 
1!0ET, 根 据 带 余 除 法 ,有 /二 qt 十 r,qg,rEZ,0 志 r 过 t, 所 以 r= 二 /一 qt€1。 由 于 1 是 T 中 最 
小 正 整数 ,所 以 一 0, 即 有 tl/。 由 此 可 得 ,TI 一 过。 国 

这 种 证 明 方 法 非常 常见 ,通过 假设 一 个 最 小 值 , 通 知 证 明 不 存在 一 个 更 小 的 从 而 得 到 
整除 性 ,后 面 的 证 明 中 又 多 次 用 到 这 个 方法 。 

通过 定义 运算 , 群 关 于 正规 子 群 的 陪 集 集合 构成 了 一 个 新 的 群 , 即 商 群 。 环 是 否 可 以 
类 似 地 构造 一 个 新 的 环 呢 ? 下面 介 绍 商 环 的 概念 和 构造 。 

设 I 是 环 R 的 理想 , 则 (T, 十 ) 是 (R, 十 ) 的 正规 子 群 , 因 此 有 商 群 R/T={z 十 TIzE 
R}) ,在 R/T 中 的 加 法 为 (zx 十 DD 十 (y 十 中 二 (zx 十 y) 十 I。R/T 对 于 第 一 种 运算 十 构成 了 交 
换 群 ,下 面 定义 第 二 种 运算 (乘法 ) 使 得 R/T 满足 封闭 性 、 结 合 律 、 分 配 律 。 

定理 7.10 设 1 是 环 R 的 理想 ,在 I 加 法 商 群 R/T 上 定义 如 下 的 乘法 , (zx 十，(y 十 
也 二 (zy) 十 1, 则 上 述 定 义 是 R/T 上 的 一 个 乘法 运算 , 且 R/T 关于 加 法 、 乘 法 构成 一 个 环 。 

证 明 车 zz 十 I=zs 十 Ty 十 T= 二 ys 十 1; 则 工 一 x2 Ely 一 ys ET 所 以 z= 二 zxz 十 rr， 
1 二 yz 十 t, 其 中 ,1EI。 于 是 zy = 二 xzyz 十 ryz 十 Xzt 十 rt。 由 7 是 理想 ,得 rys 十 zzt 十 
rtET, 故 zi 一 zyET, 此 即 (zy) 十 IT 一 (zsyz) 十 [, 这 证 明了 乘法 定义 是 合理 的 , 即 乘 
法 运算 的 定义 不 依赖 于 与 理想 进行 计算 的 元 素 的 选取 。 

容易 验证 R/T 关于 上 述 加 法 、 乘 法 构成 一 个 环 。 图 

环 R/T 称 为 尺 关于 理想 工 的 商 环 。 

商 环 R/T 中 ,为 方便 起 见 , 有 时 将 x 十 I 记 为 元。 

例 7.39 TI 一 二 3 之 是 整数 环 Z 的 一 个 理想 , 商 环 Z/<<3 之 = 人 [0],[1],[2]} 是 整数 
模 3 的 剩余 类 环 Z;。 

例 7.40 I 二 二 nn 二 是 整数 环 Z 的 一 个 理想 , 商 环 Z/ 一 xz>> 一 人 十 <<7 二 |AEZ) 一 
{十 二 n 之 10k<n 一 1)=={[0j],[1],…,[n 一 1]}。 故 商 环 Z/ 一 xz 是 整数 模 的 剩余 类 
环 2 。 

例 7.41 二 zx 二 是 环 FLz] 的 理想 , 则 F[z]/<z>>=(JGz) 十 <z>|FCz)EF[z]) 一 
{a 十 <z>|aEF)。 

例 7.42 商 环 Ze/ 王 2 之 是 有 单位 元 的 交换 环 。Zs 一 {0,1,2,3,4,5},<<2 之 一 {2r| 
r E21}={0,2,4},Z/<2>={<2>+rlr EL}={<2>+0,<2>++1}, 零 元 为 
二 2 二 十 0, 单 位 元 为 2 二 十 1。 

例 7.43 商 环 五 /和 <3>>,<<3>>={0,3},Z /<<3>> 一 { 才 3 十 0,<3 二 十 1,<<3 二 十 2} 。 
Zs /二 3 二 的 加 法 表 见 表 7. 2, 其 乘法 表 见 表 7. 3。 
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表 7.2 Ze/ 一 3> 的 加 法 表 
考 <3> > 二 1 <3>+2 
> <3> 一 3 之 十 1 <3>+2 
< < 3 I 
过 本 二 直人 去 3 十 和 <3> < +l 
表 7.3 Z/<3 二 的 乘法 表 
<3> 3> 二 1 < 
< 3 a > 
<3>+1 <3> <3> 二 1 < 42 
<3>+2 < <3>+2 a 


定理 7.11 除 环 和 域 都 是 单 环 。 
证 明 设 R 是 一 个 除 环 ,R' 是 除 环 内 任意 理想 且 R' 隆 0。 
任 取 R' 内 非 零 元 素 记 1 均 有 ri'ER. 则 nrm 二 1€ER'。 
任 取 民 内 元 素 r,, 均 有 r,* 1=r; ER’。 
因此 R' 二 R, 即 R 只 有 平凡 理想 ,是 单 环 .。 域 是 可 换 除 环 ,所 以 域 也 是 单 环 。 国 
上 述 定 理 为 后 续 域 的 扩张 概念 的 引入 提供 理论 基础 ,因为 域 性 质 无 法 通过 理想 来 进 


行 研究 。 


群 与 环 之 间 概 念 对 比 见 表 7. 4。 
表 7.4 群 与 环 之 间 概 念 的 对 比 


对 比 项 群 <S,o 过 环 <<S,01,0: 
集合 的 包含 关系 子 群 子 环 
集合 间 的 映射 群 同 态 、 群 同 构 环 同 态 \ 环 同 构 
非 零 元 的 加 法 阶 元 素 的 阶 特征 
对 集合 的 同 余 划 分 正规 子 群 有 理想 
子 集 的 构成 平凡 子 群 平凡 理想 ( 零 理想 ,单位 理想 ) 
子 集 与 元 素 的 运算 左 陪 集 , 右 陪 集 左 理想 , 右 理想 
抽象 构造 商 群 G/H 商 环 R/T 


定义 7.20 设 己 是 环 尺 的 一 个 理想 , 若 任意 coER, 且 oOEP, 都 有 aoEP 或 0EP， 


则 称 了 卫 是 R 的 一 个 素 理想 。 


定义 7.21 设 M 是 环 R 的 一 个 理想 , 若 RR 中 任 一 理想 IT, 当 了 是 M 的 真子 集 , 均 有 
I 二 R, 则 称 M 是 R 的 一 个 极 大 理想 。 
例 7.44 设 户 是 一 个 素数 .M 一 一 > 是 整数 环 乙 中 由 素数 户 生 成 的 理想 , 则 M 不 
仅 是 Z 的 一 个 素 理想 ,而 且 是 Z 的 一 个 极 大 理想 。 事 实 上 , 若 coE < 二 刀 >, 则 有 整数 ~, 使 
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得 ab 二 pr。 由 于 p 是 素数 ,可 得 pla 或 p15, 即 a€ 二 p> 或 5€E 二 p, 故 M== 二 p 放 是 素 
理想 。 男 外 , 若 T 是 M 的 真子 集 且 了 是 R 的 一 个 理想 , 则 存在 整数 "ET,r 红 一 六 > , 故 
(r,p) 二 1, 利 用 轰 转 相 除法 ,可 找到 整数 ;5,1EZ, 使 得 xs 十 pt 一 1。 由 此 可 知 1 二 rs 十 pt ET， 
从 而 I==R, 故 二 pp 二 是 一 个 极 大 理想 。 

定理 7.12 设 R 是 一 个 有 单位 元 的 交换 环 ,I 是 R 的 理想 。 

(1) 车 I 是 R 的 素 理想 , 则 R/T 是 一 个 整 环 。 

(2) 若 I 是 R 的 极 大 理想 , 则 R/T 是 一 个 域 。 

证 明 (1) 若 IT 是 R 的 素 理想 ,a ,5 ER/I,a 5 二 0, 则 abET, 由 了 是 素 理想 ,a€1 


或 5ET, 即 a 二 0 或 5 二 0, 故 R/T 没有 零 因 子 。 显 然 R/T 是 有 单位 元 的 交换 环 ,所 以 R/T 
是 整 环 。 

(2) 车 I 是 R 的 极 大 理想 ,a ER/T1,a 关 0 则 a&T, 考 虑 R 的 由 a 和 了 生成 的 理想 M ， 
由 于 了 是 极 大 理想 ,所 以 M=R, 故 有 rER,sET 使 1=ar 十 :。 因 此 ,在 商 环 R/T 中 ,有 


1=a#*, 即 a 在 R/T 中 可 道 。 而 R/T 是 交换 环 , 故 R/T 是 域 。 国 


7.1.4 多 项 式 环 


定义 7.22 设 <R, 十 ,， 二 为 整 环 , 记 n 为 自然 数 ,a; ER(l1S<i<n),a, 均 0, f(x) 二 
a 十 qz 十 … 十 anrx” 记 为 多 项 式 。 

定义 7.23 设 <R, 十 ,* 二 为 整 环 ,R[X] 为 多 项 式 集合 ,R[X] 二 {f(x)/g(zx)|f(x)€ 
F[zj],g(zx) 隆 0), 则 称 RLEX] 为 R 上 的 多 项 式 环 。 

设 


fz) = aaz 十 … 十 az 十 aoyg(z) = bx" 二 … 十 iz 十 bo € RLX] 
这 里 R 表 示 系 数 为 实数 。 
在 RLX] 上 定义 加 法 , 即 
(fi+e)(x) = (Th rT 二 十 (a 十 Bb)z 二 (ao 十 bo) 
则 RLX] 对 于 该 加 法 构成 一 个 交换 加 群 。 
零 元 为 0,f(z) 的 负 元 为 一 f(z) 二 (一 a)x 十 … 十 (一 a1)zx 十 (一 Qo )。 
设 


f(x) 一 az 十 … 十 az 十 aoyas 天 0 
gz) = bnr" 十 … 十 z 十 如 pm 天 0 
在 RLX] 上 定义 乘法 ,有 
i 
其 中 , c = ai = abo 十 ai 十 … 十 ap 十 aob (0 魏 A 魏 2 十 2), 即 
j=k 


Cntm 一 anbmsCntm!l 一 arbmi 十 ao-ipo co = aobo 
则 RLX] 中 的 单位 元 为 1。 
RLX] 对 于 上 述 加 法 运算 和 乘法 运算 构成 一 个 整 环 。 
例 7.45 系数 为 F, 上 的 多 项 式 环 记 为 F[X]. 其 中 多 项 式 F(z) 一 也 十 z 十 1,g(z) 一 
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Zz 十 15 求 g(xz): ,f(r)e(r), 
解答 g(z)2: 一 (z 十 1)2 一 z2 十 1, (zxz)g(z) 一 (z2 十 z 十 1)(z 十 1) 一 2 十 1。 
设 f(z) 二 asz "十 … 十 qz 十 ao as 关 0, 则 称 多 项 式 f(x) 的 次 数 为 n, 记 为 degf 二 n。 
例 7.46 整 系数 多 项 式 环 ZLX] 中 的 3z 十 2 的 次 数 为 1,zx? 十 27 十 4 的 次 数 为 2， 
如 十 1 的 次 数 为 3。 
像 整数 环 一 样 , 引 入 整除 的 概念 到 多 项 式 环 中 。 表 7.5 给 出 了 概念 之 间 的 类 比 。 


表 7.5 多 项 式 环 与 整数 环 中 整除 相关 概念 和 方法 间 的 对 照 


多 项 式 环 整 数 环 
不 可 约 多 项 式 素数 
可 约 多 项 式 (合式 ) 合 数 
多 项 式 Euclid 除法 整数 Euclid 除法 
因 式 ( 最 大 公 因 式 ) 因数 (最 大 公 因 数 ) 
倍 式 ( 最 小 公 倍 式 ) 倍数 (最 小 公 倍 数 ? 
不 完全 商 不 完全 商 
余数 余 式 
不 可 约 多 项 式 判 定 检测 degy 为 n/2 素数 判定 检测 上 限 为 根 号 m 
(CCz),g(Cz)) 一 (8ECz) ,hCGz)) (ab) 一 (Or) 
SCz)FCz) 十 itCz)gCz) 一 (8CZ) CCz)) sa+itb= (a,b) 


下 面 依次 介绍 这 些 概念 和 公式 ,可 以 通过 上 述 类 比 进行 知识 迁移 。 
定义 7.24 设 /(z),g(z) 是 整 环 R 上 的 任意 两 个 多 项 式 , 其 中 g(x) 隆 0, 如 果 存 在 
一 个 多 项 式 q(x) ,使 得 等 式 
f(x) = g(x)q(z) 
成 立 , 则 称 g(Cz) 整 除 f(x) ,或 者 f(x) 被 g(x) 整 除 , 记 作 g(r)|f(r)。 这 时 ,g(x) 叫 作 
f(z) 的 因 式 ,f(z) 叫 作 g(x) 的 倍 式 ;否则 , 称 g(x) 不 能 整除 /(x), 或 者 /(x) 不 能 被 
g(x) 整 除 。 
设 f(z),g(x),h(z) 是 整 环 R 上 的 多 项 式 , 满 足 /(z)g(zx) 王 h(x), 则 有 
degf + degg = degh 
例 7.47 整 系数 多 项 式 环 ZLX] 中 ,2z 十 312z2? 十 3z,z2z 十 1|z 一 1。 
定义 7.25 设 /(z) 是 整 环 R 上 的 非常 数 多 项 式 ,如 果 除 了 显 式 因 式 1 和 /(x) 外 ， 
f(z) 没 有 其 他 因 式 , 则 f(z) 叫 作 不 可 约 多 项 式 ;否则 ,f(z) 叫 作 可 约 多 项 式 , 或 者 合式 。 
注意 : 多 项 式 是 否 可 约 与 其 所 在 的 环 或 者 域 有 关 。 也 就 是 说 ,具体 可 约 不 可 约 与 系 
数 所 在 的 群 有 关 。 
例 7.48 多 项 式 z: 十 1 在 ZL[X] 中 是 不 可 约 的 ,但 是 在 F,[X] 中 是 可 约 的 x? 十 1 二 
(z 十 1)* ,在 复数 域 C 上 也 是 可 约 的 ,x? 十 1 二 (x 十 让 (x 一 站。 
定理 7.13 ”给 定 域 K 上 的 n 次 多 项 式 f(x) ,如果 p(x) 是 f(x) 的 次 数 最 小 因 式 , 则 
p(X) 是 域 K 上 的 不 可 约 多 项 式 , 目 degp 三 1/2degf。 
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证 明 反 证 法 。 如 果 p(x) 为 可 约 多 项 式 , 则 存在 因 式 p(x),degpi 一 degp, 使 得 
Pi1(z)1p(z), 从 而 pi(z)1f(z), 这 与 p(x) 是 f(x) 的 次 数 最 小 的 因 式 矛盾 ,所 以 ,p(xz) 是 
不 可 约 多 项 式 。 

另外 ,因为 /(z) 是 可 约 多 项 式 , 所 以 存在 多 项 式 f(x) ,使 得 

fz) = f(r)p(z), 1<degp <degfi <n 
因此 ,2degp 夺 degf 十 degp 二 n, 于 是 ,degp 夺 1/2degf。 国 
定理 7. 14( 多 项 式 Euclid 除法 ) 设 
f(x) 一 asz 十 … 十 az 十 ao 
g(Cz) 一 poz” 十 … 十 六 zz 十 po 
是 整 环 RR 上 的 两 个 多 项 式 , 则 一 定 存在 多 项 式 g(x) 和 r(x) 使 得 
f(z) = g(r)g(r)itr(r), degr(r) < degg (x) 

证 明 对 f(z) 的 次 数 degf/ 二 n 做 数学 归纳 法 。 

(1) 如 果 degf/ 二 degg, 则 取 g(x) 二 0,r(zx) 二 f(x) ,结论 成 立 。 

(2) 设 deg/ 宇 degg ,假设 结论 对 degj/ 一 2 的 多 项 式 成 立 。 

对 于 degf/ 二 n 宇 degg, 有 

一 人 
an_m_izem 1 十 … 十 ao 
这 说 明 f(z) 一 a,x”"g (xz) 是 次 数 不 大 于 n 一 1 的 多 项 式 , 对 其 运用 归纳 假设 或 情形 (1)， 
存在 多 项 式 g, (x) 和 ri(z) 使 得 
jz) 一 az "g(r) = ql(r)g(r)t+r(r) 
因此 ,gq(z) 二 anz"”" 十 q1 (xz) ,r(x) 二 r(x) 为 所 求 。 

根据 数学 归纳 法 ,结论 成 立 。 图 

注意 : 多 项 式 是 否 可 约 与 其 所 在 的 环 或 者 域 有 关 ,与 之 类 似 , 多 项 式 Euclid 除法 需要 
考虑 多 项 式 所 在 的 环 或 者 域 。 

例 7.49 在 域 F, 上 ,有 zx 十 x 十 1 二 (4x 十 5)(2x? 十 x 十 1) 十 6x 十 3。 在 有 理 数 域 Q 
上 ,有 zs 十 z 十 1 一 (1/2z 一 1/4)(2z2 十 z 十 1) 十 3/4z 十 5/4。 

定义 7.26 上 述 定理 中 q(Cz) 叫 作 f(x) 被 gsCz) 除 所 得 的 不 完全 商 ,rCz) 叫 作 f(x) 
被 g(x) 除 所 得 的 余 式 。 

推论 7.3 设 f(z)==asz" 十 … 十 a1x 十 ao 是 整 环 R 上 的 多 项 式 ,a€ER, 则 一 定 存在 多 
项 式 g(z) 和 常数 c 一 /Ka) ,使 得 

f(x) = (x—a)g(zx)+e 
证 明 根据 定理 7.8, 对 于 /f(x),g(z) 二 x 一 a€ R[xz], 存 在 多 项 式 g(x) ,r(x) ,使 得 
f(x) = g(x)g(x)+r(r), degr = degg 
因为 degg 一 1,degr 二 degg, 所 以 degr 一 0,r(z) 二 cER, 即 有 
f(z) = (zx—a)g(z)+e 

特别 地 , 取 zx=a, 有 c==f(a)。 [ 

推论 7.4 设 f(z)==aszx" 十 … 十 a1x 十 ao 是 整 环 R 上 的 多 项 式 ,a€ER, 则 zz 一 a| f(x) 
的 充 要 条 件 是 f(a) 一 0。 
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例 7.50 设 f(z)==xt 十 zx? 十 x 十 1,g(Xx) 二 Xx? 十 zx 十 1 是 F,[X] 中 的 多 项 式 , 求 g(x) 
和 r(z) 使 得 
f(r) = g(r)g(r)i+r(r), degr < degg 
解答 ”利用 竖 式 除法 ,逐次 消去 最 高 次 项 
+tl 


w+txtl ) xitxet0 txtl 
ctete 

txtl 

PHx+1 

0 


qd(Cz) 一 z2 十 1,r(z) 一 0。 
例 7.51 设 f(z)=x' 十 x? 十 xz 十 1,g(x)= 二 x 十 1 是 F,[X] 中 的 多 项 式 , 求 gy (zx) 和 
ri(z) 使 得 
f(r) = g(x)q (xr)+rn(r), degr < degg 
解答 ”利用 竖 式 除法 ,逐次 消去 最 高 次 项 


| 


xtl)xt+t0m tr trtl 
Esa Ey 


Dtetxtl 
AH 


x+1 
x+l 


0 
qi(z) 一 zZ3 十 z2 十 1,m(z) 一 0。 
例 7.52 设 /(z)==x' 十 x 十 1,g(zx) 二 zx? 十 1 是 F,[X] 中 的 多 项 式 , 求 gy (x) 和 n(x) 
使 得 
f(z) = g(xz)q(x)+r(r), degr < degg 
解答 ”利用 竖 式 除法 ,逐次 消去 最 高 次 项 


+l 


a xx4+0.20+O:C2HX+1 
HOCG+1 
22Hx+1 
+ 1 
x 
qi(z)=zx?+l1,n(z)=zx。 
根据 多 项 式 Euclid 除法 .可 以 用 来 判定 多 项 式 整除 关系 。 
定理 7.15 设 /(zx),g(zx) 是 域 K 上 两 个 多 项 式 , 则 /(x) 被 g(x) 整除 的 充 要 条 件 是 
f(z) 被 g(x) 除 的 余 式 r(x) 为 零 多 项 式 。 
类 似 于 素数 的 判定 ,可 得 以 下 判定 方法 。 
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定理 7.16 设 /(z) 是 域 K 上 nn 次 多 项 式 , 如 果 对 于 所 有 的 不 可 约 多 项 式 p(x)， 
degp 和 xz/2, 都 有 PCz) f(z), 则 f(z) 一 定 是 一 个 不 可 约 多 项 式 。 
例 7.53 证 明 f(z)==xz 十 z 十 1 为 F,[X] 中 的 不 可 约 多 项 式 。 
证 明 ”F[X] 中 次 数 不 大 于 n/2 二 1 的 不 可 约 多 项 式 有 zz 十 1。 将 fCz) 和 这 些 不 可 
约 多 项 式 做 Euclid 除法 ,有 
(y= 二 DF1 
f(z)= (z+D)+1 
都 不 能 整除 f(x) ,因此 ,/(z) 为 不 可 约 多 项 式 。 
例 7.54 证 明 f(z)==z 十 x 十 1 是 Fs[X] 中 的 不 可 约 多 项 式 。 
证 明 Fs。[X] 中 次 数 不 大 于 nn/2==1 的 不 可 约 多 项 式 有 xz,zx 十 1。 将 /(zx) 和 这 些 不 可 
约 多 项 式 做 Euclid 除法 ,有 
f(z) = zx(z:++1)+1 
f(x) 一 (z 十 1)2z 十 1 
都 不 能 整除 /(z) ,因此 ,J(z) 为 不 可 约 多 项 式 。 
例 7.55 证 明 /(z) 一 习 十 z2 十 1 是 Fe[X] 中 的 不 可 约 多 项 式 。 
证 明 了 [XI] 中 次 数 不 大 于 /2 一 1 的 不 可 约 多 项 式 有 zz 十 1。 将 /(x) 和 这 些 不 可 
约 多 项 式 做 Euclid 除法 ,有 


f(x) 一 me(z 十 1) 十 1 
f(z) 一 (z 十 1D)z2 十 1 

都 不 能 整除 /(x) ,因此 ,jz) 为 不 可 约 多 项 式 。 

类 似 于 整数 中 的 最 大 公 因 数 和 最 小 公 倍 数 ,可 以 给 出 多 项 式 环 RLX] 中 的 最 大 公 因 
式 和 最 小 公 倍 式 。 

设 FCz),gCz)ERLX],dCz)ERLX] 叫 作 f(z),g(z) 的 最 大 公 因 式 ,如 果 : 

(WW alrz) f(r) dz) |g(a)s 

(2) 车 hCGz)1fCr)hCr) g(r), 则 hr) ld(r)。 

f(z),g(zx) 的 最 大 公 因 式 记 作 (f(x) .g(x))。 

考虑 域 K 上 的 最 大 公 因 式 时 ,约定 其 最 高 次 项 系数 为 1, 则 最 大 公 因 式 是 唯一 的 。 

f(x) 和 g(x) 叫 作 互 素 的 ,如 果 它 们 的 最 大 公 因 式 (f(zx) ,g(x))=1。 

设 FCz),gCz)ERLX],DCz)ERLX] 叫 作 f(x),g(z) 的 最 小 公 倍 式 ,如 果 : 

(1) fx) Dr) gz Dr), 

(2) 车 fCz)|hCr),gCr) lh(z), 则 D(z) Nh(zr), 

f(z),g(z) 的 最 小 公 售 式 记 作 [ f(x) ,g(x)]。 

与 整数 除法 有 类 似 的 以 下 递 推 关 系 。 

定理 7.17 设 /(zx),g(zx),h(z) 是 域 K 上 的 三 个 非 零 多 项 式 , 如 果 

f(z) = q(x)g(7z)++h(r) 
其 中 g(x) 是 域 K 上 的 多 项 式 , 则 
(fz),g(7)) = (g(r).h(z)) 
证 明 设 d(z) 二 (f(x),g(7z)),d(z) 二 (g(7z).h(7)), 则 4d(z)|1f(z),d(z)|g(zx), 进 而 
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dl(z) | f(z)+(—a(z))g(z) = h(z) 
因此 ,d(xz) 是 g(x),h(z) 的 公 因 式 ,d(x)1d'(z)。 
同 理 ,d' (zx) 是 f(x),g(z) 的 公 因 式 ,d(x)|d(z)。 
因此 d(x)=d’ (zx)。 国 
与 整数 除法 一 样 ,利用 反复 Euclid 除法 ,可 以 计算 (f(z) ,g(x))。 
设 f(x),g(x) 是 域 K 上 的 多 项 式 ,degg 宇 1。 记 rr_s(z) 二 f(x),r_i(7x) 一 g(x), 反 复 
运作 多 项 式 Euclid 除法 ,有 

r-2(7X) = go (x)r(z)+ro (xz), 0 degro < degr_ 

ra(z) = qi(z)ro(z)+n(z), 0< degrn < degro 

ro(z) = gs (Trn(r)tri(r), 0 degr; < degr 

: C75 1 
rea (XT) = qr-2 (Tris (XT) ri (rx), 0 degris < degri-s 


re-a (XT) = qe (Xr (XT) + riz), 0 degri- < degri-s 
ri-2 (7) = gq (Tn x)trn(r) meCz) 一 0 
经 过 有 限 步骤 ,必然 存在 使 得 r(x) 一 0, 这 是 因为 
0 degr < degri-i < degris 一 … < degri < degro < degr_! = degg 
且 degg 是 有 限 正 整 数 。 
定理 7.18 设 /(z),g(z) 是 域 K 上 的 多 项 式 ,degg 之 1, 则 
(f(x),g(7)) = rii(z) 
其 中 -1(z) 是 多 项 式 Euclid 除法 中 最 后 一 个 非 零 除 式 。 
证 明 根据 定理 7.11, 有 
(f(z),g(7))= (rs (rx) ,ra (rz)) 
= (r(x) ,ro (x)) 
(ro(Cz) ,rn (rz)) 


= (rs (7X) ,ri (7)) 
= (n(xz).,0) 
= ri (x) 图 
将 上 述 过 程 反 过 来 计算 , 则 可 以 找到 s(x) ,i(z) 使 得 
s(x)f (zr)+i(zr)g(x) = (f(x) ,g(x)) 
例 7.56 f(z)=zx' 二 x’ 十 x? 十 1 EF,[X],g(x)==xt 十 x? 十 EF,[Xj], 求 (f(x)， 
g(Z)), 并 求 s(x) ,ti(zx) ,使 得 
SCT)FCz) 十 LiCz)gCr) = (f(r) ,g(r)) 
解答 ”利用 多 项 式 Euclid 除法 以 及 逆 过 程 ,有 
2 en i i i i 
zt 十 十 = 二 (十 十 1)(z 十 1) 十 1 
ZX 十 1 = 二 (zx 十 D1 
于 是 (f(z),g(z))=1。 
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反 过 来 写 为 

1= 生 让 十 让 于 2 二 放生 WE 十 业 

二 g(x) 十 (zw 十 十 DD(f(zx) 十 (x 十 1)g(x)) 

th ds Be De Ee he A 

三 《ww 丰 记 证 F022) 二 二 十)g(x》 
于 是 s(x)=z 十 Zz? 十 1,t(zx) 二 zx 十 x’ 十 x?。 
定理 7.19 设 F(z),g(Cz) 是 域 玉 上 的 多 项 式 , 则 

Se1 (TI f(x) tz)g(x) = (FGz)，g(Cz)) 
对 于 j 二 0,1,2,…,k 一 1, 这 里 5 ,4 归纳 定义 为 
s-2(7) = 1,s1(7x) = 0,5(7) = sj-2 (7) — qj;(7)sj (7) 
Eatz) 1,t(7x) = 0,t(7) tj-2 (XT) — g(x)t(z), j=0,1,2,°%,k—1 
其 中 gj (xz) 是 式 (7.1) 中 的 不 完全 商 。 
证 明和 整数 的 情况 类 似 。 
由 定理 7. 18 可 得 到 多 项 式 扩展 的 Euclid 除法 算法 7. 1 ,该 算法 在 计算 最 大 公 因 式 的 
同时 ,也 计算 出 模 不 可 约 多 项 式 的 乘法 逆 元 。 


算法 7.1 多 项 式 Extended Euclid 算法 求 逆 元 。 
输入 : 两 个 多 项 式 m(x),b(x), degb 二 degm,m(x) 是 不 可 约 多 项 式 。 
输出 : Gm(z).6(zx)), 6b(z) 在 模 m(z) 中 的 乘法 逆 元 。 


ExtendedEuclid (m(x), b(x)){ 
(1) (ai (x) ,A (x) ,Rs (x)) (1,0,m(x)); (Bi,B2,B3) (0,1,b(x)); 
(2) If Bs (x)=0 Return Rs (x), 'No Inverse'; 
(3) If Bs(x)=1 Return Bs (x), B; (x); 
(4) QAs (x) /Bs (x) 7 
(5) (Templ (x),Temp2 (x),Temp3(x)) < 一 
(Ri (x) -Q(x)B (x) ,A (x) -Q(x)B; (x) ,Rs (x) -Q(x)Bs (x)); 
(6) (Ri (x) ,Ra (x) ,Rs (x)) < (Bi (x), Ba (x) ,Bs (x)); 
(7) (Bi (x),B; (x) ,Bs (x))< (Templ (x), Temp2 (x), Temp3 (x)); 
(8) Goto 2; 


容易 看 到 ,这 个 算法 和 算法 1.4 是 类 似 的 。 

定理 7.20 设 F[z] 是 域 下 上 的 一 元 多 项 式 环 ,F[X] 中 任 一 理想 都 是 主 理想 。 

证 明 设 I 是 F[X] 中 的 一 个 理想 ,着 TI 二 {10), 则 结论 成 立 ;否则 , 设 &dCz) 是 工 中 次 
数 最 低 的 一 个 多 项 式 , 任 一 /(x)E1T, 有 g(xz),r(rz)EF[X], 使 得 f(x) 一 d(x)g(zx) 十 
r(x),r(z) 二 0 或 degr(x) 二 degd(zx)。 

由 上 式 ,r(z) 二 f(x) 一 d(xz)q(x)ET, 又 因为 d(x) 的 次 数 是 T(z) 中 最 低 的 , 故 x(x) 二 0， 
即 ad(z)| f(x)。 

反之 ,任意 f(x) 二 d(x)g(z), 都 有 f(r)ET, 所 以 I 二 <d(z) 记 。 国 
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上 述 证 明 与 整数 环 Z 中 任 一 理想 都 是 主 理想 是 类 似 的 。 

设 f(z),g(z)EF[X], 由 f(x) 和 g(x) 生 成 的 理想 为 M=={m(zx)f(z)++n(zr)g(z)| 
m(Xx) ,n(x)EF[X]}。 由 上 述 定理 ,M 是 一 个 主 理想 , 即 存在 d(x)EM, 使 M 二 <d(z) 二 ， 
则 ad(z) 是 f(z) 和 g(x) 的 最 大 公 因 式 。 这 便 是 多 项 式 思 转 相 除法 得 到 最 大 公 因 式 的 原因 。 

定理 7.21 设 F[X] 是 域 下 上 的 一 元 多 项 式 环 , f(x)E€ FLX] 是 一 个 次 数 大 于 零 的 
不 可 约 多 项 式 , 则 二 f(x) 二 是 FLX] 的 极 大 理想 ,从 而 FL[X]/ 二 f(x) 二 是 一 个 域 。 

证 明 设 [ 忆 二 f(z) 放 ,I 关 达 f(x) 放 , 是 F[X] 的 一 个 理想 , 则 存在 g(x)€El,g(x) 
二 F(z) 二 ,由 于 FCz) 不 可 约 , 故 f(z) 与 g(x) 互 素 , 利 用 回转 相 除 法 ,有 u(x),f(x)E€E 
F[X],ulx) f(r)+v(r)g(r)=1。 

故 1ET, 从 而 TI 一 FLX], 即 天 /zxz) 过 是 FLX] 的 极 大 理想 。 国 

具体 而 言 , 设 I 是 FL[X] 的 任 一 理想 ,因为 FLX] 中 任 一 理想 都 是 主 理想 , 则 f(x) € 
F[X]j], 使 T= 二 f(x) 放 ,对 任意 g(x)EF[X], 设 g(x)= 二 f(x)g(x) 十 r(x),r(x) 二 0 或 
degr(Cz) 一 degCz)。 

所 以 在 商 环 FLX]/T 中 , g(x) 二 f(x), 从 而 FL[XJ/T 中 任 一 元 均 可 表示 为 
ao 二 az 于 … 二 oz ,n=degf (x), FLXJ/I={atarzt ta zr" la EF}. 其 
中 的 加 法 和 乘法 分 别 为 

ao 十 aiz 十 … 十 a,-ize bo 二 bz CR bix” '=(ao i br! » 
ao 十 aiz 十 … 十 as-ize 二 po 十 包工 Ss baiz™ Co 是 Coin 
这 里 r(x)==co 十 cx*… 十 cs-1zx"! 由 下 式 给 出 。 设 
k(x) = ao Tazt+ Tariz™! (rT) 一 加 十 加 z 十 … 十 bz 
&Cz)。LCz) 一 gCz)FCz) 十 r(Cz)rCz) 一 0 或 degr(z) <n= degf(zx) 
因此 ,实际 上 ,FLX]/T 中 的 元 是 F 上 的 nn 维 向 量 (ao ,a ，…,aw-1),a;EF, 加 法 和 乘法 如 
上 述 定 义 。 


7.23 域 


前 面 已 经 介绍 了 域 的 概念 一 一 域 是 可 交换 的 除 环 , 或 者 有 限 整 环 , 或 者 集合 对 两 个 运 

在 研究 环 的 概念 与 性 质 中 ,引入 了 理想 的 概念 ,理想 的 引入 有 利于 对 环 进行 划分 并 生 
成 新 环 ,是 研究 环 性 质 的 重要 手段 。 事实 上 在 7. 1. 4 小 节 中 ,已 经 证 明 域 是 单 环 , 即 只 有 
平凡 理想 ,因此 同 态 的 两 个 域 之 间 只 可 能 存在 零 同 态 与 同 构 关 系 , 这 导致 无 法 通过 理想 研 
究 域 的 性 质 。 

数 域 中 本 身 具 有 扩 域 现象 ,有 理 数 域 扩张 产生 实数 域 , 实 数 域 扩张 产生 复数 域 等 。 域 
的 扩张 是 数 域 扩张 的 一 种 自然 推广 ,也 是 研究 域 性 质 最 主要 的 方法 。 


7.2.1 素 域 . 域 的 扩张 * 


类 似 于 子 群 、 子 环 概念 ,下 面子 域 . 扩 域 的 概念 由 自然 推广 可 以 引入 。 
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定义 7.27 设 K' 是 域 K 集合 的 非 空子 集 ,如 果 对 于 域 K 的 运算 ,K' 也 构成 一 个 域 ， 
则 K' 叫 作 KK 的 子 域 ,K 叫 作 子 域 开 “的 扩 域 。 

例 7.57 复数 域 为 实数 域 的 扩 域 ,实数 域 为 有 理 数 域 的 扩 域 ,有 理 数 域 是 实数 域 的 
一 个 子 域 ,实数 域 是 复数 域 的 一 个 子 域 。 

有 理 数 域 扩 域 可 以 得 到 实数 域 ,实数 域 扩 域 可 以 得 到 复数 域 ,这 个 过 程 是 不 断 扩 张 
的 。 那 么 ,是 否 存在 “最 小 ?的 一 个 域 , 该 域 只 能 成 为 子 域 ? 

下 面 概念 的 引入 ,就 是 对 上 述 问题 的 补充 。 

定义 7.28 如 果 一 个 域 不 含 真子 域 , 那 么 这 个 域 叫 作 素 域 。 

例 7.58 FE, 一 Z/pZ 是 素 域 ,其 中 为 素数 。 

例 7.59 有 理 数 域 Q 是 素 域 。 

一 个 域 包含 的 最 小 子 域 称 为 素 域 。 例 如 ,复数 域 .实数 域 和 有 理 数 域 的 素 域 都 是 有 理 
数 域 ,F, 素 域 是 它 自己 。 

由 环 可 以 产生 域 。 对 于 整 环 一 Z, 十 ,。 之 ,显然 它 是 有 理 数 域 <Q, 十 , 。 二 的 一 个 
子 环 。 那 么 ,给 定 的 环 尽 ,能 否 找到 一 个 域 下 , 它 包 含 R 作为 子 环 ? 若 一 个 域 下 包含 环 R 
作为 子 环 ,R 必须 是 可 交换 的 、 无 零 因 子 的 环 。 

定义 7.29 设 R 是 一 个 整 环 ,K 是 包含 R 为 其 子 环 的 一 个 域 ,F 是 K 的 一 个 包含 R 
为 其 子 环 的 子 域 , 则 下 是 包含 R 的 最 小 域 ,那么 下 叫 作 整 环 的 商 域 。 

例 7.60 一 Z, 十 ,。 二 是 整数 环 , 有 理 数 域 <Q, 十 , .二 为 二 Z, 十 ,。 二 的 商 域 。 


Q= {FlawbeE zz0}. 
例 7.61 设 下 是 任 一 域 ,F[X] 是 下 上 的 多 项 式 环 ,F 上 的 有 理 函 数 域 定义 为 Flx}) 二 


{BV a Erte) #0). F(z} 是 一 个 域 ,F[X] 是 包含 在 F(z} 中 的 一 个 


子 环 , 称 F{z} 是 FLXJ] 的 商 域 (分 式 域 ) 。 

定理 7.22 设 下 是 一 个 素 域 ,如 果 下 的 特征 为 2, 则 下 与 Q 同 构 。 如 果 下 的 特征 为 
Pp 且 上 为 素数 , 则 下 与 Fs 同 构 。 

证 明 设 e 是 FF 上 的 单位 元 , 取 Z 二 {neln€EZ(Z 为 整数 环 )} 是 下 的 一 个 子 环 , 记 
9: n>ne 建立 从 Z 到 2Z’ 的 同 态 满 射 。 

如 果 下 的 特征 为 =o, 则 g 是 同 构 映 射 , 即 Z 与 Z' 同 构 。 又 因为 Z' 是 整 环 ,所 以 Z 和 
Z' 的 商 域 一 定 同 构 。Z' 在 素 域内 的 商 域 是 下 .Z 的 商 域 是 Q, 因 此 ,FF 与 Q 同 构 。 

如 果 下 的 特征 为 p, 则 2Z 的 单位 元 在 p 下 所 有 北 像 构成 的 集合 是 由 p 生成 的 循环 群 
二 p 二 ,所 以 Z/<p 二 与 Fi 同 构 且 P 与 Z' 同 构 。 由 R 是 域 知 Z 是 域 。 因 为 下 是 素 域 ， 
所 以 Z' 二 F, 即 下 与 F, 同 构 。 国 

根据 上 述 定理 ,在 同 构 意义 下 , 素 域 有 且 仅 有 有 理 数 域 Q 和 , 即 任何 素 域 都 可 以 转 
化 成 这 两 类 素 域 进行 研究 。 

推论 7.5 每 个 域 均 包含 唯一 的 一 个 素 域 。 

证 明 设 巨 是 任意 的 一 个 域 ,e 是 上 的 单位 元 , 则 由 e 生成 的 素 域 F= {me/nelm， 
7EZ,ne 天 0} 显 然 包 含 于 下 内 , 即 每 个 域 均 包含 一 个 素 域 。 
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定义 7.27 设 K' 是 域 K 集合 的 非 空子 集 ,如 果 对 于 域 K 的 运算 ,K' 也 构成 一 个 域 ， 
则 K' 叫 作 KK 的 子 域 ,K 叫 作 子 域 开 “的 扩 域 。 

例 7.57 复数 域 为 实数 域 的 扩 域 ,实数 域 为 有 理 数 域 的 扩 域 ,有 理 数 域 是 实数 域 的 
一 个 子 域 ,实数 域 是 复数 域 的 一 个 子 域 。 

有 理 数 域 扩 域 可 以 得 到 实数 域 ,实数 域 扩 域 可 以 得 到 复数 域 ,这 个 过 程 是 不 断 扩 张 
的 。 那 么 ,是 否 存在 “最 小 ?的 一 个 域 , 该 域 只 能 成 为 子 域 ? 

下 面 概念 的 引入 ,就 是 对 上 述 问题 的 补充 。 

定义 7.28 如 果 一 个 域 不 含 真子 域 , 那 么 这 个 域 叫 作 素 域 。 

例 7.58 FE, 一 Z/pZ 是 素 域 ,其 中 为 素数 。 

例 7.59 有 理 数 域 Q 是 素 域 。 

一 个 域 包含 的 最 小 子 域 称 为 素 域 。 例 如 ,复数 域 .实数 域 和 有 理 数 域 的 素 域 都 是 有 理 
数 域 ,F, 素 域 是 它 自己 。 

由 环 可 以 产生 域 。 对 于 整 环 一 Z, 十 ,。 之 ,显然 它 是 有 理 数 域 <Q, 十 , 。 二 的 一 个 
子 环 。 那 么 ,给 定 的 环 尽 ,能 否 找到 一 个 域 下 , 它 包 含 R 作为 子 环 ? 若 一 个 域 下 包含 环 R 
作为 子 环 ,R 必须 是 可 交换 的 、 无 零 因 子 的 环 。 

定义 7.29 设 R 是 一 个 整 环 ,K 是 包含 R 为 其 子 环 的 一 个 域 ,F 是 K 的 一 个 包含 R 
为 其 子 环 的 子 域 , 则 下 是 包含 R 的 最 小 域 ,那么 下 叫 作 整 环 的 商 域 。 

例 7.60 一 Z, 十 ,。 二 是 整数 环 , 有 理 数 域 <Q, 十 , .二 为 二 Z, 十 ,。 二 的 商 域 。 


Q= {FlawbeE zz0}. 
例 7.61 设 下 是 任 一 域 ,F[X] 是 下 上 的 多 项 式 环 ,F 上 的 有 理 函 数 域 定义 为 Flx}) 二 


{BV a Erte) #0). F(z} 是 一 个 域 ,F[X] 是 包含 在 F(z} 中 的 一 个 


子 环 , 称 F{z} 是 FLXJ] 的 商 域 (分 式 域 ) 。 

定理 7.22 设 下 是 一 个 素 域 ,如 果 下 的 特征 为 2, 则 下 与 Q 同 构 。 如 果 下 的 特征 为 
Pp 且 上 为 素数 , 则 下 与 Fs 同 构 。 

证 明 设 e 是 FF 上 的 单位 元 , 取 Z 二 {neln€EZ(Z 为 整数 环 )} 是 下 的 一 个 子 环 , 记 
9: n>ne 建立 从 Z 到 2Z’ 的 同 态 满 射 。 

如 果 下 的 特征 为 =o, 则 g 是 同 构 映 射 , 即 Z 与 Z' 同 构 。 又 因为 Z' 是 整 环 ,所 以 Z 和 
Z' 的 商 域 一 定 同 构 。Z' 在 素 域内 的 商 域 是 下 .Z 的 商 域 是 Q, 因 此 ,FF 与 Q 同 构 。 

如 果 下 的 特征 为 p, 则 2Z 的 单位 元 在 p 下 所 有 北 像 构成 的 集合 是 由 p 生成 的 循环 群 
二 p 二 ,所 以 Z/<p 二 与 Fi 同 构 且 P 与 Z' 同 构 。 由 R 是 域 知 Z 是 域 。 因 为 下 是 素 域 ， 
所 以 Z' 二 F, 即 下 与 F, 同 构 。 国 

根据 上 述 定理 ,在 同 构 意义 下 , 素 域 有 且 仅 有 有 理 数 域 Q 和 , 即 任何 素 域 都 可 以 转 
化 成 这 两 类 素 域 进行 研究 。 

推论 7.5 每 个 域 均 包含 唯一 的 一 个 素 域 。 

证 明 设 巨 是 任意 的 一 个 域 ,e 是 上 的 单位 元 , 则 由 e 生成 的 素 域 F= {me/nelm， 
7EZ,ne 天 0} 显 然 包 含 于 下 内 , 即 每 个 域 均 包含 一 个 素 域 。 
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下 面 证 明 该 素 域 的 唯一 性 。 假 设 E 内 还 有 除 下 以 外 的 素 域 F', 因 为 子 域 的 单位 元 等 
于 域 的 单位 元 ,所 以 下 二 =F" , 素 域 的 唯一 性 得 证 。 图 

推论 7.6 设 记 是 一 个 域 ,如 果 巨 的 特征 为 2, 则 玉 包 含 了 与 Q 同 构 的 素 域 。 如 果 
FE 的 特征 为 户 , 则 下 包含 了 一 个 与 F, 同 构 的 素 域 。 

因此 ,任意 一 个 域 可 视 为 素 域 F, 或 者 Q 的 一 个 扩张 。 

考察 到 域 和 素 域 的 关系 后 ,自然 地 引入 思考 : 从 素 域 的 角度 研究 它 的 各 类 扩 域 的 性 
质 , 从 而 将 所 有 域 的 性 质 研 究 清楚 。 然 而 ,在 实际 研究 中 ,从 素 域 出 发 研究 所 有 域 的 性 质 
并 不 显得 十 分 轻松 ,因此 ,研究 方法 可 以 转化 为 : 从 任意 域 出 发 研究 其 扩 域 的 性 质 。 

这 里 引入 添加 子 集 于 任意 域 上 可 生成 的 域 (扩张 ) 的 概念 。 

定义 7.30 ”假设 下 是 某 个 任意 域 ,E 是 下 的 一 个 扩 域 ,S 是 已 上 的 非 空子 集 , 记 
F(S) 是 EE 内 所 有 包含 FUS 的 子 域 的 交集 ,此 时 F(S) 是 EE 内 包含 F 和 S 的 最 小 子 域 , 记 
为 添加 子 集 S 于 下 得 到 的 域 。 

任意 取 S 中 有 限 个 元 素 a;(1 志 i 过 n), 取 F(S) 中 元 素 /Ca ,as ,oa ) 为 系数 属于 下 
的 关于 a ,as，,…,a, 的 任意 一 个 多 元 多 项 式 。 由 于 F(S) 是 一 个 域 ,所 以 fi (ai ,az，…， 
an)/fz(aisyas，… sar) 也 是 F(S) 中 元 素 , 其 中 fs (ai saz ，… ,a,) 隆 0。 

当 a 均 在 S 内 任意 变动 时 , 当 的 大 小 任意 变动 时 ,所 有 的 fi (a ,az ,as /saw， 
aan) 可 以 组 成 一 个 集合 ,该 集合 是 包含 FU S 的 子 域 , 即 为 F(S)。 假 定 E=F(S)， 
在 S 内 任意 取 定 固定 的 n 个 元 素 ai ,az , ,as, 记 Si 一 {a az ,a,), 则 一 切 形 如 f1(S)/ 
fz(S) 的 元 素 也 构成 域 , 该 域 即 为 添加 有 限 个 元 素 于 F 上 得 到 的 扩 域 , 记 为 F(S, ) 一 
F(a sas，…… ,rs)。 此 时 ,E 二 F(S) 是 一 切 添加 有 限 个 元 素 于 下 上 得 到 的 扩 域 的 并 集 。 

F(S) 中 的 元 素 具 有 以 下 形式 , 即 


faisas at) 
g(a1sa2 Qt) 


这 里 a,as，,…,ar 是 S 中 的 个 元 素 ,f 和 g 是 域 下 上 的 两 个 k 元 多 项 式 ,g (al,as，*…， 
ao) 天 0, 人 是 正 整数 。 

例 7.62 设 F=Q, E=C,S={Y2}SE, 则 F(S)==Q(W2)={atby2| a,b EQ}。 

定理 7.23 设 下 是 一 个 域 ,E 是 上 的 一 个 扩 域 ,S, 和 S, 是 EE 的 两 个 子 集 , 则 
F(S1)(S;)=F(S;,)(S1)=F(S US,). 

证 明 F(Si)(S;) 是 包含 F(Si) 和 S 的 域 ,F(S, ) 是 包含 下 和 Si 的 域 ,因此 ,F(Si)(S,) 是 
包含 下 ,S 和 S; 的 域 。 因 此 ,F(S1)(S,) 包 含 下 和 Si US:, 即 F(S US,)EF(S)(S,)。 

F(Si US,) 是 包含 政和 Si US, 的 域 ,因此 ,F(Si U Ss) 包 含 F,Si,S,, 故 有 FF(S1US,) 
包含 F(S) 和 S,。 因 为 F(S1)(S,) 是 包含 F(S1) 和 S, 的 最 小 子 域 ,所 以 F(S1)(S,)E€ 
F(Si US:) 。 

综 上 可 知 ,F(S1)(S;) 二 F(S1US,)。 同 理 可 得 ,F(S,)(S,)EF(S US,)。 国 

上 述 定 理 可 以 得 到 推广 ,从 而 得 到 F(ai ,as,*… a) 二 F(a)(as)*… (a,)。 

它 的 意义 在 于 将 对 添加 有 限 个 元 素 的 扩 域 的 讨论 归结 为 对 添加 一 个 元 素 得 到 的 扩 域 
的 讨论 ,确定 了 对 扩 域 的 研究 方式 。 

添加 一 个 元 素 a 于 域 所 得 到 的 扩张 下 (a) 称 为 域 下 的 一 个 单 扩张 。 
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例 7.63 复数 域 C 是 实数 域 R 添加 i 得 到 的 单 扩张 。 数 域 Q(D) = 一 (ae 十 bila,OEQ) 
是 添加 i 于 Q 上 所 得 的 单 扩张 。 
例 7.64 设 Fz) 一 习 二 z 二 IEZLX]。Z。 是 一 个 域 含 有 两 个 元 素 0 和 1。 由 于 0 
和 1 都 不 是 f(z) 的 根 , 所 以 f(z) 在 Z。 上 不 可 约 。 故 商 环 Zs[X]/ 二 f(x) 二 是 一 个 域 。 
记 z 为 a; 则 Zs[Xj]/ 达 f(z)={ao 二 aralai E24}={0,1,a,1 二 a) 二 [a]。 这 是 有 4 个 
元 素 的 域 ,也 是 由 Z, 添 加 一 个 元 素 a 的 扩张 ,其 运算 由 表 7.6 给 出 。 
表 7.6 例 7.64 运算 


二 0 1 a 1 十 c 
0 0 a l+a 
1 1 0 l+a a 
a a l+a 0 
l+a l+a a 1 0 
0 a l+a 
0 0 0 0 0 
1 0 a l+a 
a 0 a l+a 1 
lt+a 0 l+a . a 


在 扩 域 中 ,引入 下 面 的 定义 是 对 添加 元 素 的 特征 进行 考察 所 得 。 

定义 7.31 设 已 是 域 二 下 ,十 ,。 之 的 扩 域 , 取 下 中 元 素 e, 如 果 可 以 取 FLX] 上 某 一 
元 素 /(z) 使 得 /(a) 二 0 且 f(z) 不 恒 为 0, 则 称 a 是 下 上 的 代数 元 ;否则 称 a 为 上 的 超 
越 元 。 

定义 7.32 在 域 一 F, 十 ,。 二 内 , 当 F(o) 是 包含 F 和 元 素 w 的 最 小 的 域 ,F(a) 记 为 
下 的 单 扩 域 。 当 a 是 上 的 代数 元 时 ,F(a) 记 为 下 的 单 代数 扩 域 ( 张 ), 当 a 是 F 上 的 超 
越 元 时 ,F(a) 记 为 的 单 超越 扩 域 ( 张 )。 

定义 7.33 设 下 是 一 个 域 ,EF 为 F 的 一 个 代数 扩 域 .将 EE 看 成 是 F 上 的 向 量 空间 ， 
如 果 dimsE 二 n, 则 EE 是 FF 上 的 n 维 向 量 空间 , 则 称 EE 为 F 的 n 次 扩 域 ( 张 ) 。 

例 7.65 V2 是 有 理 数 域 Q 上 的 代数 元 ,Q(V2) 是 有 理 数 域 Q 上 的 单 代数 扩 域 。 

例 7.66 x 是 有 理 数 域 Q 上 的 超越 元 ,Q(x) 是 有 理 数 域 Q 上 的 单 超越 扩 域 。 

定义 7.34 在 域 一 F, 十 ,。 二 内 ,是 域 下 上 的 一 个 代数 元 , 则 下 存在 首 系数 为 1 且 
有 根 «次数 最 低 的 多 项 式 , 将 该 多 项 式 记 为 a 在 F 上 的 最 小 多 项 式 。 若 a 的 最 小 多 项 式 
次 数 为 n, 则 称 a 是 下 上 nn 次 代数 元 。 

事实 上 ,构造 域 下 的 单 代数 扩 域 ,转化 为 寻找 域 下 上 的 不 可 约 多 项 式 。 

例 7.67 V2 在 Q 上 的 最 小 多 项 式 是 zx? 一 2,V2 是 Q 上 的 2 次 代数 元 。i 在 有 理 数 域 
Q 上 的 最 小 多 项 式 为 十 1, 是 Q 上 的 2 次 代数 元 。1 十 V2 在 Q 上 的 最 小 多 项 式 为 
(zx 一 1 一 V2) (zx 十 1 二 V2) 二 xz? 一 27 二 1, 是 Q 上 的 2 次 代数 元 。 

例 7.68 若 p 是 一 个 素数 , 则 Yp 是 Q 上 的 nn 次 代数 元 ,最 小 多 项 式 为 xz" 一 p。 
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定理 7.24 若 二 ,十 ,之 是 一 个 域 , 则 上 代数 元 a 在 上 最 小 多 项 式 是 唯一 
的 , 且 该 最 小 多 项 式 在 下 上 不 可 约 。 若 存在 下 上 一 多 项 式 f(z) 使 得 f(a) 一 0, 则 最 小 多 
项 式 可 以 整除 /(zx)。 

下 面 定理 研究 单 扩 域 的 构造 。 

定理 7.25 若 二 F, 十 ,* 二 是 一 个 域 ,F[X] 是 下 上 未 定 元 x 的 多 项 式 环 ,F(z) 是 
F[X] 商 域 , 当 a 是 F 上 超越 元 时 , 单 扩 域 F(a) 与 F(X) 同 构 ; 当 a 是 FF 上 代数 元 时 ,F(a) 
与 F(z)/ 二 p(x) 放 同 构 , 即 F(a) 一 F[a], 其 中 p(x) 是 a 是 上 最 小 多 项 式 。 

定理 7.26 若 <F, 十 ,* 之 是 一 个 域 ,< 是 下 上 nn 次 代数 元 ,F(a) 中 每 个 元 素 均 可 以 
唯一 地 表 成 a。，1 十 ar* a 十 … 十 a,-1， a”! 的 形式 (其 中 a;EF), 即 1,a,…,a" 是 F 上 nn 
维 空间 单 扩 域 F(a) 的 一 组 基 。 

定理 7.27 车 <F, 十 ,* 是 一 个 域 ,p(z) 是 下 上 任意 给 定 的 首 系 数 为 1 的 不 可 约 
多 项 式 , 则 存在 下 上 的 单 代数 扩 域 (a) ,其 中 p(z) 是 a 在 F 上 的 最 小 多 项 式 。 

引 理 7.1( 代 数 基本 定理 ) ”任何 复 系数 的 次 多 项 式 在 复数 域内 都 可 以 分 解 成 n 个 
一 次 因 式 的 乘积 。 

上 述 引 理 是 在 复数 域 上 对 多 项 式 进行 分 解 ,下 面 将 复数 域 进行 概念 上 的 自然 推广 。 

定义 7.35 设 巨 是 一 个 域 , 且 玉 上 每 个 多 项 式 都 可 以 分 解 成 上 的 一 次 多 项 式 的 
乘积 , 则 将 EE 记 为 代数 闭 域 。 

例 7.69 复数 域 是 一 个 代数 闭 域 。 

在 代数 闭 域 的 前 提 下 ,下面 对 特定 多 项 式 在 其 中 分 解 为 一 次 因子 相 乘 的 域 进行 讨论 ， 
引入 分 裂 域 的 概念 。 

定义 7.36 设 下 是 一 个 域 ,E 是 下 的 扩 域 ,/(z) 是 下 上 一 个 次 数 大 于 0 的 多 项 式 ， 
如 果 f(z) 能 在 EE 上 分 解 为 一 次 因子 的 乘积 ,在 任何 包含 下 但 是 比 E 小 的 子 域 上 不 能 够 
分 解 为 一 次 因子 的 乘积 , 则 称 巨 是 f(z) 在 下 上 的 分 裂 域 。 

因此 ,E 是 包含 F 且 /(z) 能 在 EE 上 完全 分 解 为 一 次 因 式 的 乘积 的 最 小 域 。 

例 7.70 f(z) 二 x 一 2 在 实数 域 上 的 分 裂 域 是 实数 域 。z’ 十 1 是 实数 域 R 上 的 多 项 
式 , 则 复数 域 C 就 是 zx? 十 1 在 R 上 的 一 个 分 裂 域 。 如 果 将 zx? 十 1 看 成 有 理 数 域 Q 上 的 多 
项 式 , 则 十 1 在 QQ 上 的 分 裂 域 为 Q(D) 二 {atbila,b EQ 惰 一 一 1) 。 

例 7.71 确定 x 一 2 在 Q 上 的 分 裂 域 。 

解答 x 一 2 一 (z+;) (zx 一 Yi) (xz 十 站 )(z 一 J2) ,所 以 x 一 2 在 Q 上 的 分 列 域 为 
Q(V2.i)。 


7.2.2 域 上 多 项 式 


定义 7.37 给 定 RLX] 中 的 一 个 首 一 多 项 式 m(zx) ,两 个 多 项 式 f(z),g(z) 模 mm(zx) 
同 余 , 如 果 m(z)|f(z) 一 g(x), 记 作 f(z) 寺 g(x) (mod m(x)); 否 则 叫 作 模 m(zx) 不 同 
余 , 记 作 


f(z)Rg(r) (mod m(z)) 
任 一 多 项 式 f(x) 都 与 其 被 m(z) 除 的 余 式 r(z) 模 m(z) 同 余 , 余 式 r(z) 叫 作 f(z) 模 
m(z) 的 最 小 余 式 , 记 作 (f (zx) mod m(z))。 
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定理 7.28 设 /(z)EF[X], 当 且 仅 当 f(x) 为 域 下 上 的 不 可 约 多 项 式 , 则 F[X]/ 
了 (z) 为 域 。 

与 Z/nZ 类 似 ,FL[X]/f(z) 中 的 元 素 即 为 次 数 小 于 f(x) 次 数 的 所 有 下 上 的 多 项 式 ， 
其 中 的 加 法 、 乘 法 运算 分 别 为 模 多 项 式 f(x) 的 加 法 和 乘法 运算 , 若 FF 二 F, ,degf 二 nn, 则 
IF,LXJ/f(x)|=p"。 

例 7.72 (zx 十 zx 十 1) 在 F; 是 不 可 约 的 ,F,[X]/(zx’ 十 x 十 1) 为 域 ,元 素 个 数 为 8 二 23 
个 , 即 {[0],[1j],[xj;,[zx 十 1],[zx*j,[zx? 十 1],[zx 十 zx],[x 十 x 十 1]}。 计 算 机 里 可 用 3 个 
比特 表示 为 {000,001,010,011,100,101,110,111)。 

[zx 十 1]J 在 Fe[XJ/(zx? 十 zx 十 1) 域 的 逆 元 是 [x 十 x]。[x? 十 zj] 的 北 元 是 [x 十 1],[x’ 十 
Zz 十 1] 的 道 元 是 [x? ]。 

例 7.73 (zi 十 xz? 十 1) 在 下 是 不 可 约 的 ,F,[X]/(zx’ 十 x? 十 1) 为 域 ,元 素 个 数 为 8 一 
23: 个 , 即 {[0],[1],[z],[Cz 十 1],[z3],[z? 十 1],[z? 十 z],[z? 十 z 十 1]}。 计 算 机 里 可 用 3 
个 比特 表示 为 {000,001,010,011,100,101,110,111)。 

[zx 十 1J 在 Fc[zxj/(xw 十 x 十 1) 域 的 逆 元 是 [x?]。[x? 十 zj 的 道 元 是 [xj,[x? 十 x 十 1] 
的 逆 元 是 [zx: 十 1]。 

上 面 的 例子 可 看 到 ,不 同 的 域 中 虽然 都 是 3 比特 表示 方法 ,但 对 应 的 乘法 表 是 不 
同 的 。 

例 7.74 〈z 十 1) 在 Fs 是 不 可 约 的 ,F;[X]/(x’ 十 1) 为 域 ,元 素 个 数 为 9 二 3? 个 , 即 
{[o],[1],[2],[z],[z 十 菇 ,[z 十 2],[2z],[2z 十 1],[2z 十 2])} 。 

例 7.75 设 f(z)=x 十 xz 十 1EFo[X], 则 f(z) 在 F, 上 是 不 可 约 的 ,Fs[X]/f/(x) 构 
成 一 个 具有 | Fe[X]/F(Cz)1| 一 2 一 4 个 元 素 的 域 。|F。[X]/f(x)|={[0],[1],[x]j， 
[x 十 1])}。 其 元 素 运算 表 如 表 7.7 和 表 7. 8 所 示 。 


表 7.7 F;[X]/f(z) 的 加 法 表 


* [0] [1] [z] [z+1] 
[o] [0] EE 如 [x] [z+1] 
[1] [1] [0] [二条 [zx] 
[Ce [z] [z+1] [0] [1] 
[z+1] [z+1] [x] [1] [0] 


表 7.8 F:[X]/F(z) 的 乘法 表 


[0] Eu [z] [z+1] 
[o] [0] [0] [0] [0] 
[1] [0] Eu [x] [z+1] 
[zx] [0] Ld [z+1] [1] 
[z+1] [0] [和 寺 避 [1] [z] 


从 运算 表 可 以 看 出 ,[0] 是 零 元 ,[1] 是 单位 元 。 
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从 前 面 的 例子 容易 看 出 ,计算 加 法 是 比较 容易 的 ,计算 乘法 较为 麻烦 。 下 一 小 节 将 介 
绍 域 的 生成 元 表示 方法 ,使 得 计算 乘法 比较 容易 。 


7.2.3 有限 域 


在 群 、 环 等 概念 中 了 解 到 , 同 阶 的 群 . 环 未 必 同 构 , 且 即使 在 素 域 中 ,有 理 数 域 的 元 素 
个 数 是 无 限 ,结构 性 质 较 差 。 但 是 ,有 限 域 有 着 优良 的 性 质 。 

定义 7.38 只 包含 有 限 个 元 素 的 域 称 为 有 限 域 ,其 元 素 的 个 数 称 为 该 域 的 阶 ;否则 ， 
称 域 为 无 限 域 。 

例 7.76 二 Fe ,十 ,X 二 ,<F; ,十 ,XX 二 是 有 限 域 。 以 素数 为 模 的 剩余 类 环 Z, 是 有 
限 域 。 

定理 7.29 如 果 域 K 的 特征 不 为 零 , 则 其 特征 必 为 素数 。 

证 明 设 域 天 的 特征 为 六 如果) 不 是 素数 , 则 存在 整数 1 二 m,n 二 nn, 使 得 n= 
2 ,从 而 (lx)(Czzl) 一 (mas )1 一 0, 因 为 域 K 无 零 因子 ,所 以 1 二 0 或 者 nn,1, 二 0， 
这 与 特征 ”的 最 小 性 矛盾 。 国 

推论 7.7 有 限 域 的 特征 必 为 一 素数 。 

考虑 代数 系统 中 的 加 法 运算 ,有 限 域 特征 为 素数 可 以 保证 许多 运算 可 以 简化 。 

定理 7.30 设 下 是 特征 为 p 的 有 限 域 , 则 任意 a,bEF, 均 有 (a 十 6)? 二 a? 十 b?。 


p 


证 明 ”根据 二 项 式 定理 , (4a 十 6)? 二 》)Ctatpr*。 当 钴 0 且 k 关 pp 时 ,C4 一 


k=0 


其 中 ,C$ 为 正 整 数 ,p 为 素数 ， 


姥 一 一 和 十 呈 为 整数 , 即 p| ,有 C$ 一 0 mod p, 因 此 ,只 有 上 一 0 或 p 时 , 妈 


C4 二 1 时 ,展开 式 不 为 0, 即 (a 十 b)? 二 a? 十 bp?。 国 
例 7.77 设 F, 二 Z/pZ 是 一 个 有 限 域 ,其 中 为 素数 ,p(x) 是 F,[X] 中 的 nn 次 不 可 
约 多 项 式 , 则 
F,LX]/<=<p(x)>= {amz™ 十 … 十 az 十 ao |a: EF} 
记 为 Fi 。 这 个 域 中 元 素 的 个 数 为 如。 
Fw 中 的 加 法 和 乘法 分 别 是 
jz) 十 gCz) = ((f +g) x) (mod p(x)) 
fC(2) 。g(z) = (fg) (x) (mod p(x)) 
F, 是 p" 元 有 限 域 ,其 特征 p 为 素数 。 
定理 7.31 设 局 是 dg 元 有 限 域 , 则 其 乘法 群 F; 的 任意 元 素 的 阶 整 除 g 一 1。 
定义 7.39 ”如果 有 限 域 F, 的 元 素 g 是 F; 的 生成 元 , 即 阶 为 g 一 1 的 元 素 ,那么 元 素 
g 是 F, 的 本 原 元 或 生成 元 。 当 g 是 F, 的 本 原 元 时 ,有 F, 一 10}U<g={0,g" 二 1,g， 
gg 
有 限 域 的 不 同 表示 方式 会 影响 运算 的 复杂 程度 。 多 项 式 表示 法 中 加 法 容易 计算 ,本 
原 元 表示 法 乘法 容易 计算 ,但 加 法 较为 复杂 。 可 以 建立 两 种 表示 法 之 间 的 联系 ,使 得 加 法 
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和 乘法 都 容易 计算 。 

定理 7.32 每 个 有 限 域 都 有 生成 元 。 如 果 g 是 F, 的 生成 元 , 则 g” 是 F, 的 生成 元 当 
且 仅 当 & 和 4g 一 1 的 最 大 公 因 数 (d4.g 一 1) 二 1。F。 有 yp(q 一 1) 个 生成 元 。 

类 似 第 5 章 中 模 p 原 根 的 判定 方法 ,可 以 得 到 有 限 域 F, 的 元 素 g 是 否 为 生成 元 的 一 
个 判定 方法 。 

定理 7.33 设 g 是 有 限 域 Fy 中 的 元 素 ,p" 一 1 的 所 有 不 同 素 因数 是 o ,…,q,，, 则 8 
是 有 限 域 Fy 的 一 个 生成 元 的 充 要 条 件 是 

ED 天 1 i=1,2,,k 
上 述 定理 给 出 了 求 有 限 域 的 生成 元 的 方法 。 
证 明 设 g 是 Fy 的 一 个 本 原 元 , 则 g 的 阶 是 p" 一 1, 因 为 


0<E pl d= 


于 是 ,g* 9/ 天 1Gi 一 1，…,)。 
反 过 来 , 若 g 满足 式 g* ?了 % 关 1(i 一 1,2,…,k), 但 g 的 阶 e 二 ord(g) 二 p" 一 1, 则 el 


"一 1。 因 而 存在 一 个 素数 g, 使 得 gy | 人 一, 即 
la 


€ 

即 妈 二 一 we, 于 是 好 叶 一 (8 一 1, 假设 矛盾。 国 

定义 7.40 有 限 域 Fy 的 生成 元 g 的 定义 多 项 式 f(z) 叫 作 本 原 多 项 式 。 

注意 : 设 /(x) 是 F, 上 的 n 次 本 原 多 项 式 , 则 使 得 x* 三 1 (mod /(x)) 的 最 小 正 整 数 
e 一 加 一 ]。 

类 似 于 有 限 域 Fy 的 生成 元 g 的 判定 法 则 ,可 以 给 出 f(z) 在 F, 上 的 n 次 本 原 多 项 式 
的 判定 方法 。 

定理 7.34 设 p 是 素数 ,n 为 正 整 数 ,f(z) 是 F,[X] 的 nn 次 多 项 式 , 如 果 

(1) x” -711 (mod f(x)), 

(2) 加 一 1 的 所 有 不 同 素 因素 是 gi ,gs,…， qs ,有 

xz 1 (mod f(x)) i=1,2,%,k 

则 f(z) 是 nn 次 本 原 多 项 式 。 

定理 的 证 明和 定理 7. 29 类 似 。 

例 7.78 证 明 f(z)==z 十 x 十 zx? 十 zx? 十 1 是 F,[X] 中 的 本 原 多 项 式 。 

证 明 因为 n=8,2"! 二 255 二 3。5。17, 素 因子 gq 二 7,q: 二 5,qs 三 3; 于 是 (2* 一 1)/ 
di 一 15,(2" 一 1)/q 二 51, (2" 一 1)/gs 二 85。 根 据 定理 7. 30, 只 需要 验证 x*” 二 1 mod 
(EE 时 


=u*g; 


Xs 天 1mod f(x), zx 关 1 mod f(zx), zx 天 1mod f(x) 
事实 上 ,zx 三 ] (mod f(x)) 
nod f(x))s 
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Tz 二 zx (mod f(x)) 
zx 三 Zz 二 十 十 下 十 二 (m0d f(z)) 

故 /(z) 是 本 原 多 项 式 。 国 

例 7.79 FLX] 中 不 可 约 多 项 式 x 十 x 十 1 是 本 原 多 项 式 ; 不 可 约 多 项 式 x' 十 x 十 1， 
Zz! 十 十 1 也 是 本 原 多 项 式 ;但 不 可 约 多 项 式 zx! 十 zx? 十 zx? 十 zx 十 1 不 是 本 原 多 项 式 ,因为 
=1 (mod zx +x 二 z+ 1) 

例 7.80 zz 十 zx 十 1 是 F。 上 不 可 约 多 项 式 , 设 a 是 zx? 十 x 十 1 的 根 , 则 F(a) 二 {0,1， 
aya 十 1} ,又 二 a 十 1 ,0 二 a(a 十 1) 二 @? 十 a 二 1, 所 以 a 是 下 , (a) 的 本 原 元 。 

下 面 给 出 有 限 域 的 三 条 结构 定理 。 

定理 7.35 设 下 是 一 个 特征 为 素数 p 的 有 限 域 , 则 下 中 的 元 素 个 数 为 p",n 是 一 个 
正 整 数 。 

证 明 设 已 是 包含 在 下 内 的 素 域 ,因为 有 限 域 丰 的 特征 为 户 , 则 天 的 特征 也 为 户 。 

假设 在 下 内 的 指数 为 n ,那么 取 下 在 下 上 的 一 个 基 el ,as ,…,o,, 则 下 内 每 个 元 
素 均 可 以 唯一 地 表 成 kg 十 ko@z 十 … 十 kg,(kig EF'), 其 中 每 个 k; 均 有 zp 种 取 法 ,因此 
全 部 系数 组 合共 有 加 种 取 法 。 因 为 每 种 取 法 唯一 地 决定 下 内 元 素 , 且 不 同 取 法 得 到 的 下 
内 元 素 互 不 相同 ,所 以 下 中 元 素 个 数 为 p" 个 。 图 

思考 7.3 是 否 会 存在 阶 为 10 的 有 限 域 ? 

定理 7.36 (存在 性 ) 对 于 任何 素数 p 和 任意 正 整 数 n ,都 存在 一 个 有 限 域 含有 加 
个 元 素 。 

证 明 为 了 证 明 该 定理 ,只 需要 找到 一 个 这 样 的 有 限 域 即 可 ,事实 上 , 令 闷 一 加 时 ， 
z" 一 在 特征 为 p 的 素 域 上 的 分 裂 域 EE 就 是 这 样 的 m 阶 有 限 域 ,满足 条 件 。 下 面 证 明 EE 
是 一 个 m 阶 有 限 域 。 

假设 下 为 特征 为 p 的 一 个 素 域 , 令 EE=F(a ,as ,as) 为 f(x) 二 =x" 一 z 在 F 上 分 裂 
域 ,qa ,as，,…,as 是 f(x) 在 域 EE 内 的 根 。 因 为 EE 的 特征 为 p, 所 以 了 (x)==p"z"! 一 1 二 
一 1, 即 (f(x), 了 (xz)) 二 1, 从 而 /(x) 没 有 重 根 , 即 当 i 关 j 时 有 wii 天 o 。 

令 下 ={qi saz，… ag} ,因为 (a; 一 aj)"= 二 a? 一 a? 二 a; 一 a 且 (ai;/aj)"= 二 a? /a? 二 ai/aj, 所 
以 a 一 a; 和 ai/aj 是 f(z) 的 根 , 即 a; 一 a; 和 ai/u 属于 下 ,所 以 下 是 FE 的 一 个 子 域 。 国 

定理 7.37( 唯 一 性 ) ”任意 两 个 g== yp" 元 域 都 同 构 , 即 p”" 元 域 在 同 构 意义 下 是 唯 


一 的 。 
证 明 取 E 和 F 是 任意 两 个 p" 阶 域 ,因此 ,E 和 下 均 有 p 阶 的 素 子 域 E' 和 下 ,所 以 
和 下 为 同 阶 子 域 的 有 限 扩 张 。 又 因为 E 和 下 是 同 阶 的 有 限 域 ,所 以 和 下 的 扩张 次 
数 相同 。 因 此 ,可 以 定义 双 射 函数 %: EE 对 E'’ 的 基 环 下 对 FF 的 基 , 易 见 双 射 函数 $8 是 EE 与 
下 之 间 的 同 构 映 射 , 即 EE 与 之 间 同 构 。 由 于 EE、F 的 任意 性 ,所 以 任意 两 个 g==yp” 元 域 
都 同 构 。 国 
例 7.81 F, 是 一 个 特征 为 素数 p 的 域 , 且 其 非 零 元 素 F; 二 {1,2,…,p 一 1} 形 成 一 
个 p 一 1 阶 循环 群 。F, 不 是 特征 为 p 的 唯一 域 。 事实 上 ,任何 有 限 域 的 乘法 群 都 是 循环 
群 ,如 Fi (这 里 q 王 加) 是 一 个 产 一 1 阶 循环 群 。 
例 7.82 F,[Xj] 中 有 许多 次 数 为 n 的 不 可 约 多 项 式 . 但 可 以 证 明 , 由 任何 两 个 次 不 
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可 约 多 项 式 构造 的 域 是 同 构 的 。 因 此 ,存在 唯一 的 加 (z 是 素数 ,n 宇 1) 个 元 素 的 有 限 域 ， 
记 为 Fi (这 里 g 二 p")。n 为 1 时 ,F, 与 Z 相同 。 可 以 证 明 , 如 果 存 在 -个 元 素 的 有 限 域 ， 
则 一 定 存在 某 个 素数 疡 及 某 个 整数 ?过 1, 使 得 一刀。 
下 面 的 例子 给 出 通过 生成 元 构造 有 限 域 的 方法 。 
例 7.83 求 Fz 二 Fu[X]/(xt 十 x 十 1) 的 生成 元 gCz), 即 g(x)',1==0,1,2,… 
所 有 的 生成 元 。 
解答 ”因为 |F2 | 一 15 一 3。5, 所 以 满足 
8g(z)3 斌 1 (mod z 十 zx 十 1),g(z)5 六 1Cmodz 十 z 十 1) 
的 元 素 g(x) 都 是 生成 元 。 
对 于 g(z) 一 z, 有 
ZT: 考 1 (mod xz 十 z 十 1) ,zs 志 1 (mod xz 十 zx 十 1) 
所 以 g(z) 一 并 是 EL[X]/Czts 十 z 十 1) 的 生成 元 。 
对 于 1 二 0,1,…,14, 计 算 gCz) (mod zx 十 x 十 1) 如 下 : 
1.g(z)1 Ts 
g(z) 一 Z 十 lg(z)5 一 22 十 zig(z)5 = x tr ,g(x)’ 
(zz 三 过 十 zz 


)1 zz 


,14 和 


g(r) Tog(zr)2 = x g(x)’ 


i 


2 -| 3 4 3 十 zz 二 


证 lg(z 二 2 二 


本 丰 秆 


1,g(z)a 
l,g(x)* 三 23 十 1 


(TD)8 Es 


gr) 1,g(z 

容易 看 到 

g(xz)* 一 (2 十 1)z 一 4 十 z 王 1 

所 有 生成 元 g(z) ,这 里 (t,15) 王 1,. 于 是 取 :一 1,2,4,7,8,11,13,14, 计 算 可 得 到 所 有 生 
成 元 。 

例 7.84 用 生成 元 g(x) 一 zx, 构造 Fx 一 F,[X]/(x' 十 x 十 1) 中 的 多 项 式 表格 ,考察 
求 着、 乘法 加法、 减法 运算 ,用 4 位 表示 运算 结果 。 

解答 ”元 素 0,g",g!,g* 和 8 很 容易 生成 ,因为 它们 是 0.1.z 和 x? 的 4 位 表示 。 
通过 8 的 元 素 g*, 它 表示 通过 x* 的 zx! 需要 被 不 可 约 多 项 式 整除 ,为 了 避免 这 个 多 项 式 
除法 ,可 以 使 用 F(g) 王 8 十 8 十 1 一 0 这 个 关系 。 利 用 这 个 关系 ,有 8 一 8 十 1。 因 为 在 F。 
域 中 ,加 法 和 减法 是 同一 个 运算 。 用 这 个 关系 去 求 出 所 有 作为 4 位 字 的 元 素 的 值 。 


0 ss = =0 = 0 一 (0000) 
五。 二 硬 pg 一 品 = 8 一 (0001) 
a a a a => 总 一 (0010) 
碍 ”过 到 二 = => a =(0100) 
Bs - Ee => 可 一 (1000) 
g =g 一 如 =g+1 = a! =(0011) 
gs =g(g') =g(g+1) =g:+g 之 gs 一 (0110) 
站。 Sey eet = 之 a 一 (1100) 
如 =g(g') =g(g’+g) =g’+g+l1 = 加 一 (1011) 
gs =g(g') =g(g’+g+1) 一 8 十 1 = gs 一 (0101) 
六 =g(g’) =g(g’+1) =g+g 之 让 一 (1010) 
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8 =g(g) =g(g’+g) =g’+g+1 全 a 一 (0111) 
a =g(g”) =g(g’t+gtl) 二 oe 
8 =g(g") =g(g’+g’+g) = gt be a 一 (1111) 
g* =g(g") =g(g’+g’+tgt+!1) =g’+g’+l1 a 一 (1101) 
8 =g(g*) =g(g’+g’+1) =g’+1 字 ue =(1001) 


乘法 计算 的 核心 思想 是 利用 关系 g' 二 g 十 1 降 次 。 

例如 ,g2 一 g(80) 一 5(8 十 g2 十 g) 一 8 十 8 十 8 一 于 十 8 十 g 十 1。 

在 降 次 后 ,可 以 将 智 数 转化 为 比特 数 , 如 gi 十 1 等 价 于 1001 。 

由 以 上 可 知 乘法 很 容易 计算 ,同时 : 

元 素 的 加 法 逆 元 是 它 自身 ,如 一 g’ 一 g’。 

元 素 的 乘法 逆 元 (83) 一 一 5 一 8 一 8 十 8 十 g 十 1]->(1111)。 

元 素 间 的 加 法 于 十 8 十 寻 一 时 十 (于 十 于 十 5 十 1) 十 (本 十 g 十 1) 一 于 十 8 一 
(1100) 。 

元 素 间 的 减法 外 一 65 一 8 十 8 一生 十 (83 十 82) 一 82 一 (0100) 。 

有 限 域 在 对 称 加 密 算 法 设计 中 有 大 量 的 应 用 ,如 在 AES 密码 算法 中 便 涉及 有 限 域 
Fe 一 FLXJ/(xs 十 x 十 x 十 x 十 1) 及 其 生成 元 g(x) 二 x 十 1, 在 7.3.2 小节 将 详 述 。 


元 本 环 和 域 在 AES 加 密 中 的 应 用 


1997 年 美国 NIST 发 起 公开 征集 高 级 加 密 标 准 (Advanced Encryption Standard， 
AES) 算 法 的 活动 ,目的 是 寻找 一 个 安全 性 能 更 好 的 分 组 密码 算法 替代 DES。AES 的 基 
本 要 求 是 安全 性 能 不 能 低 于 三 重 DES, 且 执行 性 能 比 三 重 DES 快 。 而 且 分 组 长 度 为 128 
位 ,并 能 支持 长 度 为 128 位 、192 位 .256 位 的 密 钥 。 

1998 年 ,NIST 召开 了 第 一 次 AES 候选 会 议 ,公布 了 15 个 满足 AES 基本 要 求 的 算 
法 作为 候选 算法 ,并 提请 公众 协助 分 析 这 些 候选 算法 。1999 年 NIST 召开 了 第 二 次 AES 
获 选 会 议 , 公 布 了 第 一 阶段 的 分 析 和 测试 结果 ,从 15 个 候选 算法 中 选 出 了 5 个 决赛 算法 
(Mars、RC6 、Rijndael ,Serpent 和 Twofish) 。2000 年 ,NIST 召开 第 三 次 AES 候选 会 议 ， 
通过 对 决赛 算法 的 安全 性 .速度 以 及 通用 性 等 要 素 的 综合 评估 ,最 终 决定 比利时 密码 学 家 
Joan Daemen 和 Vincent Rijmen 提出 的 Rijndael 数据 加 密 算法 修改 后 作为 AES。2001 
年 NIST 正式 公布 AES, 并 于 2002 年 5 月 开始 生效 。 


7.3.1 AES 的 设计 思想 


1. 基本 安全 参数 
分 组 长 度 为 128 位 , 密 钥 长 度 可 以 独立 设置 为 128 位 、192 位 和 256 位 ,因此 AES 有 
3 个 版 本 , 即 AES-128、AES-192、AES-256。 相 应 的 迭代 轮 数 为 10、12、14。 一 般 而 言 ,加 
密 轮 数 N, 取决 于 密 钥 长 度 lx ,两 者 之 间 关 系 为 N, 一 6 十 lk/32。 表 7.9 给 出 两 者 的 关系 。 
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表 7.9 给 出 了 轮 数 与 密 钥 长 度 的 关系 


站 AES-128 AES-192 AES-256 
参数 
长 度 128 192 256 
轮 数 10 12 14 


128 位 的 输入 明文 分 组 为 16B, 通 常用 图 形 表示 为 4X4 的 正方 形 矩 阵 , 称 为 状态 
(state) 和 矩阵 。 例 如 ,对 于 128 位 的 分 组 ,可 分 成 16B, 从 左 到 右 为 soo0 $10 $20 $30 $01 Sn sal ssl S02 
Si2522 532 503513523 S33。 状态 矩阵 S 表示 为 


S30 S31 S32 333 
AES 算 法 的 分 组 长 度 固定 为 128 位 。Rijndael 中 分 组 长 度 还 可 为 192 位 或 256 位 ， 
则 相应 的 列 数 为 6 列 和 8 列 。 因 此 ,AES 可 视 为 Rijndael 算法 的 子 集 。 
类 似 地 ,可 从 输入 密 钥 构造 轮 密 钥 RoundKey 矩阵 。 


2. 设计 思想 

Rijndael 的 设计 目标 是 : 抵抗 所 有 已 知 的 攻击 ;在 多 个 平台 上 速度 快 、 编 码 紧 凑 ; 设 
计 简 单 。Rijndael 没有 采用 DES 中 的 Feistel 结构 ,其 轮 函数 是 3 个 不 同 的 可 逆 变 换 组 成 
的 。 轮 函数 中 有 三 种 功能 层 : 四 线性 混合 层 ,确保 多 轮 之 后 的 扩散 ; 四 非 线性 层 ,将 具有 
最 优 的 “最 坏 情况 非 线性 特性 ”的 S 盒 并 行使 用 ; @ 密 钥 加 层 ,将 轮 密 钥 和 每 一 轮 结果 进 
行 相 加 ( 异 或 )。 


3. AES 的 总 体 结构 

如 图 7.4 所 示 ,Rijndael 加 密 算法 的 轮 函 数 采用 SP(Substitution-Permutation) 结 构 ， 
每 一 轮 字 节 代 换 (SubByte) , 行 移 位 变换 (ShiftRow) 、 列 混合 变换 (MixColumn) , 轮 密 钥 
加 变换 (AddRoundKey) 组 成 。 加 密 过 程 执行 一 个 “初始 轮 密 钥 加 ”, 然 后 执行 N, 一 1 次 
“中 间 轮 变换 ”以 及 一 个 “ 末 轮 变换 ”。 


7.3.2 AES 中 S 盒 的 设计 


AES 中 的 字 节 代 换 部 分 是 AES 中 的 每 一 轮 工作 的 首要 部 分 。 

通常 将 字 节 代 换 的 计算 结果 先 制 成 S 盒 表格 ,通过 利用 查 表 进行 快速 变换 。 

如 F5 查 表 后 得 到 E6 ,56 查 表 后 得 到 Bl 等 。 

例如 ,图 7.5 给 出 一 个 输入 输出 状态 矩阵 的 例子 。 

问题 是 S 盒 是 如 何 设计 的 ? 

AES 的 S 盒 设计 不 像 DES 的 S 盒 设计 那么 神秘 (S 盒 的 设计 方法 没有 给 出 具体 原 
因 , 因 此 有 人 担心 其 中 会 有 后 门 ) ,而 是 有 严格 的 数学 计算 。 其 设计 原理 是 将 一 字 节 非 线 
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读 人 明文 、 密 钥 
f 
产生 轮 密 钥 
f 


AddRoundKey “一 


i 


Round(State, ExpandedKey) 


SubByte(State); 
ShiftRow(State); Nl 
MixColumn(State); 

AddRoundKey(State, ExpandedKey); 


+ 明文 } 
一 一 | 初始 轮 密 钥 加 1 
原始 密 钥 pe 让 FinalRound(State, ExpandedKey) 
1 守节 内 
1 | ER | SubByte(State); 
密 钥 扩展 1 [一 i s | ShiftRow(State); 
! | 行 移 位 与 列 混合 + 迭代 控制 AddRoundKey(State, ExpandedKey); 
1 i 1 } 
1 


| 王政 一 
| 1 密 文 


1 密 文 
图 7.4 AES 总 体 结构 
F5|56|10|20 E6|B1|cA| B7 
6B | 44 | 57 | 39 | s 合 代 换 | 7F |1B|5B| 12 
01 | 03 |6c|21 ”|7clm 50 | FD 
AF| 30 32 | 34 四 加固 区 


图 7.5 输入 输出 状态 矩阵 示例 


性 地 变换 为 男 一 字 节 。 由 两 个 变换 复合 而 成 : 一 个 是 求 Fe 上 的 乘法 逆 , 一 个 是 仿 射 
变换 。 


1. 变换 1: 求 逆 
令 字 节 =(z) 一 zz 十 zezs 十 … 十 zz 十 zxo, 先 在 有 限 域 Fs 中 求 其 关于 m(x) 二 x 十 x 
十 z 十 zx 十 1 的 乘法 道 元 ,规定 “00” 的 逆 为 "00”。 
也 就 是 说 ,将 a 去 0,a€ Fz: 变换 到 其 逆 元 。 即 有 映射 
t: Fs 一 了 sa mt (a) 
a=0,t(a) 一 0ia 天 0,ta) = a 
2. 变换 2: 仿 射 变换 
[yo y1 y2 ys y4 ys ye 71] = A[Lzo zi zs zs x4 xs ze Tr 四 [01100011] 
这 里 4 为 一 个 规定 的 矩阵 。 
具体 而 言 ,给 定 wz) = 十 x 十 x 十 x 十 1,v(Xx) 一 并 十 xz 十 zz 十 zx 定义 映射 ， 
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Lo: Fz 一 了 zs ,La)=b 
对 任意 的 
a = (arasasasasasa1ao) € Fos 
先 将 a 表示 成 多 项 式 , 即 
a(z) = arz' 十 … 十 azz2z 十 ai 并 十 ao 


然后 计算 
b(7z) = u(xz)a(z) vr) mod (zs 十 1) 
设 
p(z) = biz 二 + 十 box? 十 bX 十 bo 
则 


Ls (a) = 6 = (bbsbsbbsbbibo) € Fs 
仿 射 变换 L,。 可 用 矩阵 表示 为 


i 
wl | Ov Oe al i 
al |1110001 1la| lo 
a| li1111000 1l.,l| lo 
Bal i Ba i di 6 Ga lo 
0 i es | | 5 
py | ee WE | Pe Ml i 
wm| looori1i1 ll lo 


从 另 一 个 角度 来 看 ,满足 
bi = ai Dairy mods 四 act mds 四 auto meds 四 actn aas OD ci 

ci 为 (63)s 二 (01100011)s 的 第 i 位 。 

可 见 , 通 过 上 述 等 式 计算 可 快速 进行 , 且 具 有 混淆 的 效果 。 

从 一 般 原理 上 解释 ,SubByte 代 换 可 视 为 5,., 一 L,,,。* 1, 即 先 做 逆 运 算 , 再 做 仿 射 运 
算 。 虽然 复合 变换 5,,, 的 两 个 变换 工 ,., .i 都 是 对 Fs 中 的 元 素 进行 计算 ,但 是 却 使 用 了 不 
同 的 数学 结构 : 1 是 在 有 限 域 Fs 二 F(x)/m(zx) 上 进行 ,而 工 ,,, 却 是 在 环 F,[X]/(zxs 十 1) 
上 进行 。 尽 管 : 和 工 ,., 都 非常 简单 ,但 它们 的 复合 运算 却 非常 复杂 。 这 种 集合 相同 但 数 
学 结构 不 同 运 算 的 复合 ,是 AES 的 字 节 代 换 具有 “ 非 线 性 性 ”的 保证 。 这 一 方法 已 成 为 分 
组 密码 设计 的 常用 方法 。 同 时 ,由 于 这 两 个 变换 都 是 可 逆 的 , 故 存在 逆 复 合 变换 。 

例 7.85 以 F5 为 例 说 明 S 盒 的 蔡 代 操作 。 不 通过 查 表 ,而 通过 代数 运算 。 首 先 求 
解 F5 在 Fss 上 的 乘法 逆 元 。 输 入 F5 对 应 11110101, 对 应 多 项 式 (z? 十 x 十 x 十 x 十 ZX? 十 
1) , 求 其 模 m(zx)==zxs 十 x 十 xz 十 zx 十 1 的 逆 , 即 求 a(x) 使 得 (zx? 十 zx 十 zx 十 x 十 Zz 十 1)。 
a(Xx) 三 1 mod m(x) ,通过 扩展 的 Euclid 算法 , 求 得 其 道 为 (zx' 十 xz? 十 x)。 表 示 成 二 进 制 
为 01000110。 再 进行 仿 射 变换 ,代入 和 矩阵 
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0 0 1 1 
得 到 二 进 制 结果 为 111001110 ,对 应 十 六 进 制 结果 为 E6 。 
SubByte 用 到 了 AES 中 的 第 一 个 基本 运算 , 称 为 字 节 运算 , 即 有 限 域 Fe 上 的 运算 。 
7mM(Z) E Fs[LX] 是 一 个 8 次 不 可 约 多 项 式 , 故 由 m(x) 可 生成 一 个 有 限 域 Fes 。 
Ex =F,[X]/<m(zx)> 
={botbiztb ztbsz thr tbsr’ tber’ thr |b;: EF ,i=0,1,.%,7} 
={(brbebsbibsbsb1bo) |b; EF ,i=0,1,.,7} 
加 法 为 模 2 加 法 ,实际 上 相当 于 异 或 .减法 其 实 等 于 加 法 ,因为 一 1 的 逆 为 1, 如 (zs 十 
a ke tn de 
多 项 式 乘 以 xz( 也 称 为 xtime 操作 ), 即 左 移 1 位 ,例如 , 求 z(x)，z, 若 <z; 二 0, 则 结果 
为 左 移 1 位 ,车 zi 二 1, 则 左 移 1 位 后 再 求 模 , 求 模 相当 于 减 去 模 多 项 式 m(x) ,由 于 系数 是 
模 2 的 , 减 去 即 为 加 上 。 例 如 ,zs mod m(z) = 十 x 十 十 ZX 十 1 二 x 十 如 十 x 十 1。 这 
个 减 去 的 过 程 也 称 为 降 次 。 
下 面 以 (x 十 十 让 十 ZX 十 D(x? 十 xX 十 1) = 二 十 x 十 1 mod m(x) 为 例 说 明 通 过 
xtime 操作 如 何 来 加 快 乘法 运算 的 计算 过 程 。 
计算 过 程 等 同 于 计算 (57)1。，(83)16。 
首先 计算 一 个 列表 , 即 左 边 不 断 与 2 相 乘 ( 即 xtime, 也 就 是 不 断 左 移 1 位 ,最 左 位 为 1 
时 需要 减 去 m(x), 即 降 次 ) ,计算 过 程 如 下 。 
5716 * 0216 = xtime(5716)—=ae1s ,571s * 0416 =—=xtime(ae1)=4716 
5716 * 0816 =xtime(4716)=8e1 ,5716 * 1016 =xtime(8e1e)=0716 
571s * 2016 = xtime(0716) =0e1 ,5716 * 4016 —=xtime(0e1)= 1c1 
571s * 8016 = xtime(5716) =3816 
这 一 过 程 到 (80)is 即 可 。 
然后 从 列表 中 挑选 需要 的 项 相 加 : (57)1。* (83)16 一 57。 (01e 十 0216 十 80ie ) 一 
01010111@10101110@00111000= 二 11111001@00111000 二 11000001 二 Cle , 即 x? 十 x 十 1。 
由 上 例 可 知 ,F" 中 的 乘法 可 以 通过 左 移 位 和 异 或 运算 完成 。 
另外 ,由 于 zz(z) 是 不 可 约 的 , 故 可 保证 求 出 ( 需 加 密 多 项 式 的 ) 的 逆 元 。 


7.3.3 AES 中 列 变换 的 设计 


在 AES 的 列 变换 之 前 ,还 进行 了 行 移 位 操作 。 为 了 完整 性 , 先 介绍 行 移 位 。 
行 移 位 将 状态 矩阵 中 的 字 节 循环 左 移 若 干 位 。 将 行 移 位 运算 表示 为 R.:S 一 R(CS)。 
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第 0 行 不 移动 ,第 1 行 循环 左 移 1 位 ,第 2 行 循 环 左 移 2 位 ,第 3 行 循环 左 移 3 位 ,如 图 7.6 
所 示 。 


不 移 位 
| 一 一 一 一 一 一 | 
so S01 so so | 循环 左 移 ! 位 |soo so so sos 
ne Mt I A 
$0 5 S52 323 | 循环 左 移 ! 位 。 | s2 $3 $0 21 
530 31 S33 S33| 循环 左 移 ! 位 |s3 so si sa 


图 7.6 行 移 位 


行 移 位 实现 了 字 节 在 每 一 行 的 扩散 ,很 自然 地 想到 字 节 在 列 中 也 需要 扩散 。 

下 面 重点 介绍 列 变换 。 

把 状态 矩阵 每 列 的 4 个 字 节 表 示 为 Fe 上 的 多 项 式 SCz) ,再 将 该 多 项 式 与 固定 多 项 
式 c(z) 做 模 x! 十 1 乘法 , 即 SCz) 一 cCz)COSCz) mod (x 十 1) ,这 里 ,c(x) 二 “03 入 ;十 '01z? 十 
01 十 ”02 。 列 混合 的 映射 可 以 看 成 


S00 So1 S02 So3 sho Ss sie sis 
S10 511 S12 313 Ee so 2 i A 
S20 $21 S22 S23 dy dh dn a 
530 $31 S532 S33 2 os 
令 
Si(z) 一 saizs 十 sjz2 十 suz 十 sw 0Zj<3 
SCz) 一 sz 十 sz2 十 sz 十 s 0 委 ) 委 3 
于 是 ,有 
SCz) 一 c(z) 加 Si(z) = 一 cCz)Si(z) mod (z 十 1) 
由 于 c(x) 固 定 , 故 可 将 该 乘法 写成 
soy 02 03 01 01][sw 
呈 _|0%1 02 03 01llsy j= 0,1,2,3 
S52 01 01 02 03 || ss 
5 03 01 01 02JjLss 
于 是 , 列 混合 即 为 矩阵 乘法 , 即 
S00 so S02 Sos 02 03 01 O01]fso so so sos 
in Su Sh Sl 01 02 03 01|lso su si S13 
fs 01 01 02 03|lso So sz 523 
St Oo 01. 01 2d sm wr mE 
于 是 ,可 记 列 混合 运算 为 : M(S) 二 CS 。 这 里 C 为 矩阵 
02 03 01 01 
01 02 03 01 
01 01 02 03 
03 01 01 02 


MixColumn 用 到 了 AES 的 第 二 个 基本 运算 一 一 字 运 算 , 即 系数 在 有 限 域 Fs 上 的 运算 。 
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令 R={(asazarao)|a;€ Fz)}。 在 RR 中 定义 加 法 “十 ”和 乘法 “@” 如 下 。 
加 法 (asazaiao) 十 (636zb1b0) 二 (caczcico) ,ci 二 ai 十 b; (i 二 0,1,2,3), 即 Fzs 中 的 加 法 
算 


[eu 


乘法 (asazaiao)@(b3bobibo) 二 (cccco) ,其 中 cz 十 cz 十 cz 十 co 二 (asz 十 qsx 十 
aix 二 ao) *。 (bsx’ 二 bx hzt+bo) mod (xt+1), 

由 于 模 zx 十 1 不 是 不 可 约 多 项 式 , 所 以 ,R 对 以 上 定义 的 运算 不 能 构成 域 ,只 能 是 一 
个 环 , 即 字 集合 和 运算 构成 环 (R, 十 ,加 )。 

对 xz! 十 1 取 模 ,可 将 z* 二 1 代入 寡 次 高 于 4 次 的 项 以 降低 寡 次 (直到 低 于 模 的 寡 次 )， 
这 是 因为 xz: 王 一 1 mod x 十 1, 又 一 1 二 1 mod x 十 1, 即 有 xi 二 xi"™ + mod (x 十 1)。 

思考 7.4 选择 c(z) 的 理由 是 什么 ? 

由 于 zt 十 1 不 是 Fs 上 的 不 可 约 多 项 式 , 所 以 一 个 Fs 上 次 数 小 于 4 的 多 项 式 未 必 是 
可 逆 的 。AES 于 是 选择 了 一 个 有 逆 元 的 固定 多 项 式 , 且 系数 较 小 ,便于 计算 。 于 是 取 
c(z) 一 “03'z3 十 "01z2 十 "01z 十 "02 ,其 道 元 c 1(z) 一 “00zs 十 "0diz2 十 "09z 十 "0e , 令 
d(x)= a(zx) 加 bz)dszs 十 dz 十 四 并 十 加 

一 (aszs 十 azz2z 十 az 十 ao) 四 (bz 十 bz2 十 因 十 bo) 


do = aob 中 asp D asbs 中 ap 
di = abo 由 ao 由 ap D asbs 
d; = azsbo 由 ab 由 ap D asbs 
d; = asbo 由 ap 由 ap D aobs 
简 言 之 ,a,b 下 标 之 和 模 4 与 4 的 下 标 相 同 。 若 写成 矩阵 形式 ,容易 看 到 是 一 个 循环 
和 矩阵。 
例 7.86 输入 矩阵 和 输出 矩阵 如 下 ,验证 计算 的 过 程 。 
02 03 01 011TE6 Bl CA B7 B2 10 Cl AC 
01 02 03 01|ll1B 5B 12 7F 38 62 6E E7 
01 01 02 03|l|50 FD 7C 7B 75 80 2C 5B 
03 01 01 02jLl8 79 04 23 4A 9C 23 80 
检查 第 一 列 为 EB,1B.50,18。 
co 一 02。E6 申 03。1B 由 50 申 18 王 11010111 申 00101101 申 01010000 申 00011000 王 
10110010 即 为 B2。 这 里 。 ,由 均 为 Fe 中 的 乘法 和 加 法 。 容 易 看 到 ,混合 后 每 一 列 的 每 
个 字 节 与 原来 一 列 中 的 每 个 字 节 都 有 关系 ,这 就 是 "MixColumn"” 一 词 的 来 历 。 
最 后 简单 介绍 AES 的 最 后 一 步 轮 密 钥 加 。 
将 状态 矩阵 和 子 密 钥 矩阵 对 应 的 4X4 王 16 个 字 节 分 别 相 加 (Fz: 中 运算 ) 。 将 密 钥 加 
运算 表示 为 A 。 


So So So So3 ko ko ko kos 

SI0 Su Sl2 S13 kio ku Aiz kis 
4 一 十 到 三 中 

S20 3S21 S22 S523 kzo kz kz os 

S30 S53l 332 533 kso ks ks kss 
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so Dho 四 so Bho so Dkos 
sp Bho su Bh ss Bh ss Bhs 
so Dh su Dh sz Bh 52 © kzs 
ss Bhso su Bh ss Bhs ss Dhss 


7.4 环 在 NTRU 密码 体制 中 的 应 用 * 


NTRU(number theory research unit) 公 开 密 钥 算 法 是 一 种 新 的 快速 公开 密 钥 体制 ， 
1996 年 在 Crypto 会 议 上 由 布朗 大 学 的 Hoffstein、Pipher、Silverman 三 位 数学 家 提出 。 
经 过 几 年 的 迅速 发 展 与 完善 ,该 算法 在 密码 学 领域 中 受到 了 高 度 的 重视 并 在 实际 应 用 (如 
嵌入 式 系统 中 的 加 密 ) 中 取得 了 很 好 的 效果 。 

NTRU 是 一 种 基于 多 项 式 环 的 密码 系统 ,其 加 密 、 解 密 过 程 基于 环 上 多 项 式 代数 运 
算 和 对 数 p 和 g 的 模 约 化 运算 ,由 正 整 数 N,p、.d 以 及 4 个 N 一 1 次 整 系数 多 项 式 (/,g， 
7,m) 集 合 来 构建 。N 一 般 为 一 个 大 素数 ,p 和 g 在 NTRU 中 一 般 作为 模 数 ,这 里 不 需要 
保证 p 和 g 都 是 素数 ,但 是 必须 保证 (p,q) 二 1, 而 且 g 比 p 要 大 得 多 。R=Z[X]/(X* 一 1) 
为 多 项 式 截断 环 , 其 元 素 FCAER) 为 /一 av-izx 十 … 十 az 十 ao。 定义 尺 上 多 项 式 元 素 
加 运算 为 普通 多 项 式 之 间 的 加 运算 ,用 符号 十 表示 ,R 上 多 项 式 元 素 乘 法 运算 为 普通 多 项 
式 的 乘法 运算 , 当 乘 积 结果 要 进行 模 多 项 式 zx 一 1 的 运算 , 即 两 个 多 项 式 的 卷 积 运算 , 称 
为 星 乘 ,用 表示 。R 上 多 项 式 元 素 模 g 运算 就 是 把 多 项 式 的 系数 作 模 g 处 理 , 用 mod g 
表示 。 

NTRU 密码 体制 描述 : 


(1) 密 钥 生成 。 随 机 选择 两 个 N 一 1 次 多 项 式 f 和 g 来 生成 密 钥 。 利 用 扩展 的 
Euclid 算法 对 求 逆 。 如果 不能 求 出 三 的 逆 元 ,就 重新 选取 多 项 式 /。 用 F, ,FF 表示 
了 对 p 和 4g 的 乘 道 , 即 F,f 三 1 mod g,F,@f/ 三 1 mod p。 

计算 : h 三 F,@g mod gq 

最 后 得 : 公 钥 为 (N,p,q,h) , 私 钥 为 (f,F,)。 

这 里 F 可 以 从 了 容易 地 计算 得 到 ,但 仍然 作为 私 钥 存 储 , 这 是 因为 在 解密 时 需 
要 使 用 这 个 多 项 式 , 而 F, 和 g 就 不 需要 存储 了 。 

(2) 加 密 算法 。 首 先 把 消息 表示 成 次 数 小 于 N 且 系 数 的 绝对 值 至 多 为 (p 一 1)/2 
的 多 项 式 m, 然 后 随机 选择 多 项 式 rEL ,并 计算 c 寺 (pr@9h 十 m) mod g。 密 文 是 多 项 
或 es 

(3) 解密 算法 。 收 到 密 文 c 后 ,可 以 使 用 私 钥 (f,F,) 对 密 文 c 进行 解密 。 依 次 
计算 : 

a=(/c) mod gq, a€E (—g/2,g/2) 
b=a mod p 
m=F, Ob modp 
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一 致 性 证 明 : 由 于 
a 三 f/@c modg==(f@® (prOhim) modg) modg 
三 (f@prOhi+fOm) modg 
三 (f@®prOF, Ogt+fOm) moda 
三 (pr@g+fOm) modg 
又 因为 a 的 系数 在 区 间 ( 一 g/2,g/2), 所 以 pr@Og 十 /@m 的 系数 在 区 间 ( 一 g/2， 
qd/2) , 故 pr@g 十 fm 模 g 后 结果 不 变 。 因 此 
F, Ob mod p= (F, a modp) mod p=F,®(prOg+fOm) modp 
=(F, @pr@Og+F, OfOm) modp=mmodp 
从 而 解密 成 功 。 
非 正 式 地 说 ,该 加 密 算法 的 设计 思路 是 : 利用 随机 多 项 式 + 生成 一 个 “ 密 钥 多 项 式 
h”, 利 用 这 个 密 钥 多 项 式 进行 加 密 得 到 密 文 多 项 式 。 解 密 时 利用 多 项 式 取 模 , 约 去 随机 
多 项 式 ~, 利 用 多 项 式 的 逆 , 解 出 明文 多 项 式 。 可 见 , 同 一 个 明文 在 不 同 的 加 密 中 会 产生 
不 同 的 密 文 。 
例 7.87 设 (N,p,q) 二 (5,3,6), 以 及 /二 x 十 x 一 1 和 g 二 x 一 x, 求 公 钥 私 钥 对 以 
及 描述 加 密 解密 过 程 。 
解答 ”由 于 (x 十 x 一 上 )@(xw 十 zx 一 1) 二 1 mod 3, 故 有 下, 一 x? 十 x? 一 1, 同 理 可 求 得 
忆 二 x 十 x* 一 1。 又 由 于 hh 二 Fg mod 16 二 一 x* 一 2x? 十 2x? 十 1, 所 以 公 钥 为 
(CN,p,q;h)=(5,3,16, 一 x 一 2z’ 十 2zx? 十 1); 私 钥 为 (f,F,) 二 (xt 十 x 一 1,zx’ 十 x 一 1)。 
加 密 过 程 : 首先 将 消息 m 表示 成 多 项 式 n 二 x 一 + 十 1, 然 后 选取 多 项 式 r= 二 zx 一 1, 则 
密 文 为 c 二 3r@h 十 m 三 一 3x! 十 6x 十 7x? 一 4x 一 5 mod 16。 
解密 过 程 : 首先 计算 a 三 /@c 三 4x' 一 27 一 5x? 十 6x 一 2 mod 16, 计 算 F, Qa 二 x? 一 
Z 十 1 mod 3, 这 样 就 恢复 了 消息 m。 
讨论 : 解密 过 程 有 时 可 能 无 法 恢复 出 正确 的 明文 ,因为 : 
在 解密 过 程 
a 三 (f{@) modg==/f@ prOhi+m) modg= (prOg+/fOm) modg 
中 ,如 果 多 项 式 pr@g 十 /Om 的 系数 不 在 区 间 ( 一 g/2,q/2), 则 
fprOhim) modgAAprOg+fOm 
设 /@(prO9h 二 mm) 二 prO9g 十 f/m 十 qusu 为 多 项 式 ,并 且 的 系数 不 全 为 0, 计算 : 
e=F, Wa modp=F,®(prOg+/fOmt+gu) modp 
=F, ©prOgt+F, OfOmt+F, Ogqu modp 
由 于 p 和 g 互 素 ,所 以 e' 圭 m 十 F,C@qu mod p 了 关 m, 故 解密 失败 。 
通过 选择 恰当 的 参数 N、p、g 就 能 够 避免 以 上 错误 ,如 取 (N,p,g) 王 (107,3,65) 和 
(N,p,q) 二 (503,3,256) ,试验 表明 解密 错误 的 概率 小 于 5X10“, 这 就 是 通常 能 正确 解 
密 的 原因 。 
安全 性 讨论 : 
NTRU 算法 的 安全 性 是 基于 数论 中 在 一 个 具有 非常 大 维 数 的 格 (lattice) 中 寻找 最 短 
向 量 (shortest vector problem,SVP) 是 困难 的 。 只 要 恰当 地 选择 NTRU 的 参数 ,其 安全 
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性 与 RSA、ECC 等 加 密 算法 是 一 样 安全 的 。 同 时 ,NTRU 基于 的 困难 问题 没有 量子 算法 
可 解 , 也 称 为 后 量子 时 代 密 码 (post-quantum cryptography), 或 者 量子 免疫 密码 


(quantum immune cryptography) 。 


[1] 设 F[X] 是 数 域 下 上 的 一 元 多 项 式 集合 , 现 对 F[X] 定 义 乘法 “… ”为 fCz)g(Cz) 一 
f(g(z)), 则 F[X] 关 于 多 项 式 加 法 和 如 上 定义 的 乘法 “。 "是否 构 成 环 ? 

[2] 设 Z[]=={a 十 bila,6EZ, 二 一 1)。 证明: Z[i] 关 于 复数 加 法 和 乘法 构成 一 
个 环 。 
证 明 : 如 果 环 尺 的 加 法 群 是 循环 群 , 则 R 是 交换 环 。 

试 写 出 Zw 的 所 有 零 因子 ,单位 元 。 

试 写 出 Z 的 所 有 理想 。 

证 明 : 如 果 了 J 是 环 R 的 理想 ,I 十 J 二 {a 十 blaE1,6E 7 了), 则 了 二 J 是 R 的 理想 。 
[7] 设 ZL[LX] 是 整数 环 上 的 一 元 多 项 式 , 则 理想 二 2,zx 二 由 哪些 元 素 组 成 ? 二 az 二 
是 否 是 主 理想 ? 

程序 实现 多 项 式 Euclid 除法 。 

程序 实现 多 项 式 广义 Euclid 除法 。 

10] 证 明 ; 如 果 巨 是 下 的 一 个 n 次 扩张 .a€EE, 且 在 下 上 的 次 数 为 m, 则 mm|n。 

11] 证 明 : x 十 xz 十 1 是 F[X] 中 的 不 可 约 多 项 式 , 从 而 FE[X]/(x' 十 xz? 十 1) 是 一 
个 Fx: 域 。 

[12] 试 给 出 有 限 域 Fs ,Fi; 中 所 有 元 素 , 并 给 出 其 本 原 元 。 

[13] 证 明 : 设 下 为 域 ,如 果 F; 是 循环 群 , 则 下 是 有 限 域 。 

[14] 求 域 Z 上 的 全 部 3 次 不 可 约 多 项 式 。 

[15] 计算 Fe[xj/(x? 十 1) 的 加 法 和 乘法 表 。 

[16] 计算 Fa[x]/(z? 十 x 十 1) 的 加 法 和 乘法 表 。 

[17] 求 Fw 二 Fc[zj]/(xt 十 x 十 1) 的 生成 元 g(x), 计 算 g(x)'(t==0,1,…,14) 和 所 有 
生成 元 。 
18] 编写 程序 输出 AES 的 S 盒 。 

19] 编写 程序 实现 AES 的 列 混合 计算 过 程 。 


125 


8 音 
条 5 素性 检测 


本 章 介绍 素数 的 判定 方法 。 重 点 是 Fermat 测试 ,难点 是 MillerRabin 测试 。 


8 1 素数 的 一 些 性 质 


生成 合适 的 p 和 g 是 RSA 中 密 钥 生 成 以 及 RSA 安全 性 的 关键 。 素 数 产 生 的 办 法 是 
随机 选择 一 个 数 , 然 后 测试 其 是 否 为 素数 。 这 里 随机 选择 比 从 一 个 固定 的 表 中 选择 素数 
要 更 加 安全 。 虽 然 在 2002 年 ,Agrawal、Kayal 和 Saxena 证 明了 存在 一 个 素性 判断 的 多 
项 式 时 间 的 确定 性 算法 ,但 是 其 效率 不 如 概率 判定 算法 。 因 此 在 实际 应 用 中 ,素性 检测 仍 
然 主要 利用 概率 多 项 式 时 间 算 法 。 

目前 最 大 的 已 知 素数 是 梅森 (Mersenne) 素 数 222 "一 1( 此 数字 位 长 度 是 12978189 。 
梅森 数 是 指 形 如 2 一 1 的 数 , 记 为 M, ,如 果 一 个 梅森 数 是 素数 ,那么 它 称 为 梅森 素数 。 该 
数 是 第 47 个 素数 , 记 为 Manzsoe ) , 它 是 在 2008 年 8 月 23 日 由 GIMPS 发 现 。 梅 森 数 常用 
来 检验 素性 检测 算法 的 性 能 。 

思考 以 下 几 个 问题 。 

(1) 素数 会 不 会 用 完 , 即 素数 是 无 穷 的 吗 ? 

定理 1.5 已 经 证 明了 素数 有 无 穷 多 个 。 

(2) 素数 在 自然 数 中 占 的 比例 如 何 ? 是否 能 够 很 快 找到 一 个 素数 ? 

定理 8.1 素数 定理 : 设 x(zx) 表 示 三 xz 的 素数 的 个 数 , 则 


工 充分 大 时 ,r(z)Sz/lnrz。 由 素数 定理 知 , 对 于 正 整 数 N ,不 超过 N 的 素数 数目 大 约 为 
N /lInN。 即 任意 一 个 整数 , 它 小 于 N 且 是 素数 的 概率 为 1/lInN。 假 设 生成 长 度 为 512 位 
的 素数 (首位 为 1) , 则 长 度 为 512 位 的 素数 个 数 为 
253 /ln 253 一 252 /ln 251 一 2。252/(513ln2) 一 252/(512 。ln2) 
As 0.0028。252 a 2521357 a5 2%55 as 10%! 

这 个 数 非常 大 ,要 知道 宇宙 中 原子 的 数量 也 仅仅 为 10”。 

任何 一 个 长 度 为 512 位 的 数 为 素数 的 概率 为 2”5/(25 一 25)A1/357, 即 平均 每 
357 个 (长 度 为 512 位 ) 的 数 中 就 有 一 个 是 素数 。 其 中 偶数 (末尾 为 二 进 制 的 10) 不 用 测 
试 ,于 是 平均 测试 为 357/2s*179 次 , 即 为 了 发 现 一 个 长 度 为 512 位 的 素数 ,平均 测试 179 
个 长 度 为 512 位 的 数 就 会 发 现 一 个 。 
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一 般 地 ,长 度 为 + 比特 的 素数 大 约 有 
2t vty= 
In In> it(t+1)ln2 

(3) 如 果 很 多 人 都 选择 512 比特 的 p ,会 不 会 出 现 重复 ? 

重复 的 概率 可 忽略 ,因为 共有 10 站 个 数 ,重复 的 概率 为 V10™ 10”( 即 随机 碰撞 的 
概率 ,如 “生日 攻击 ”) ,这 个 数 非常 大 。 

(4) 为 什么 不 建立 素数 的 数据 库 , 利 用 搜索 数据 库 来 尝试 分 解 因子 ? 

将 所 有 512 位 的 素数 保存 起 来 ,需要 512。 2 二 254.5 位 ,如 果 将 10GB(2*: 位 ) 保 
存在 1g 重 的 存储 设备 上 ,需要 的 存储 设备 的 总 重量 为 2”t, 这 一 重量 是 不 可 能 实现 的 ,将 
导致 系统 崩溃 ,进入 黑洞 。 

下 面 介绍 素性 检测 的 方法 。 

一 个 平凡 的 方法 就 是 检测 任何 不 大 于 Vn 的 素数 是 否 能 整除 n 来 确定 n 的 素性 。 显 然 
在 实际 中 需要 更 高 效 的 算法 。 


8.2 Fermat 测试 


Fermat 测试 的 依据 是 Fermat 定理 。 
首先 回顾 Fermat 定理 : 车 n 是 素数 ,上 且 a 是 任何 满足 1 三 an 一 1 的 整数 , 则 


nl 一 


a 1 modn 
因此 ,给 定 需 要 判定 素性 的 数 , 若 在 区 间 内 能 找到 一 个 整数 a 使 得 a"! 隆 1 mod n, 则 足 
以 说 明 是 一 个 合 数 。 


算法 8.1 Fermat 素性 测试 ,测试 n。 
输入 : 奇数 "全 3。 
输出 : 测试 结果 ,素数 或 者 合 数 。 


Fermat (n) 

{ 
随机 选择 整数 a, 2<a<n-2。 
r=a™! mod n; 
IE z 天 1 Return ("Composite"); 
Return ("Prime"); 

} 


算法 8. 1 的 输出 为 “ 合 数 ”, 则 一 定 为 合 数 ,车 输出 为 “素数 ”, 则 可 能 为 素数 。 但 是 存 

在 这 样 的 合 数 ,对 所 有 满足 gcd(a.n) 二 1 的 整数 4, 均 有 a”! 硅 1 mod n, 称 这 样 的 为 
Carmichael 数 , 有 研究 表明 这 种 数 较 稀少 。 

研究 表明 ,如 果 算 法 输出 为 "Prime”( 即 通过 了 素性 检测 ), 则 ” 确 为 素数 的 可 能 性 大 

于 1 一 翅 。 如 果 运行 :次 ,算法 均 输 出 “Prime”, 则 ” 确 为 素数 的 可 能 性 大 于 1 一 二 。 
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83 ”Solovay-Strassen 测试 


Solovay-Strassen 测试 是 随 着 RSA 密码 体制 而 出 现 并 广泛 使 用 的 第 一 种 素性 测试 。 
它 的 原理 是 基于 Euler 准则 。 
这 里 给 出 Legendre 符号 的 推广 , 即 不 再 限定 p 为 素数 。 


定义 8.1 假定 是 一 个 奇 正 整 数 , 且 的 素数 徊 因子 分 解 为 n 一 [入 . 设 a 为 一 
个 整数 ,那么 雅克 比 (JacobD) 符 号 (各 ] 定 义 为 
Sa 
可 见 , 当 nn 为 素数 时 ,Jacobi 符号 就 是 Legendre 符号 。 
但 是 ,注意 Jacobi 符号 [各 等 1 ,不 能 推出 是 模 ” 的 平方 剩余 ( 相 比 Legendre 符 


号 ,( 和 等 于 1, 可 以 推出 a 是 模 p 的 二 次 剩余 )。 


例 8.1 计算 Jacobi 符号 [ 8575 


全 (人 (人 ) 
一 二 全) (DE) 


=(=D(=W=W(=W 
二 一 
也 就 是 说 ,如 果 知 道 了 的 因子 分 解 , 即 可 根据 因子 分 解 的 结果 ,分 别 去 求 Legendre 
符号 ( 即 利用 平方 乘 算法 求 宕 ) 。 
但 是 ,在 不 知道 因子 分 解 的 情况 下 ,是 否 可 以 求 出 Jacobi 符号 ? 幸运 的 是 ,存在 这 样 
的 多 项 式 算法 。 该 算法 利用 了 Jacobi 符号 的 性 质 ,特别 是 利用 了 二 次 互 反 律 。 


Jacobi 符号 的 性 质 如 下 。 
(1) 如 果 是 一 个 正 奇数 ,和 且 mm 二 ma mod n, 则 


CE) 
(2) 如 果 n 是 一 个 正 奇数 ,那么 
a 
特别 地 ,车 区 二 2 ,t 为 一 个 奇数 , 则 
eG 
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(3) 如 果 是 一 个 正 奇数 ,那么 


(2)= 1，27 三 土 1] mod 8 
n 人 nn 三 十 3 mod 8 


-a); m 三 nn 三 3 mod 4 


2). 其 他 


m 

容易 观察 到 ,Jacobi 符号 和 Legendre 符号 的 计算 规则 是 相似 的 。 

这 里 形象 地 解释 一 下 ,主要 是 便于 初学 者 记忆 和 理解 。 非 正式 地 说 ,把 寡 视 为 “分 
子 ”, 模 视 为 “分 母 ", 则 有 以 下 性 质 。 

(1) 性 质 1 用 于 将 大 奇数 “分 子 ? 转 化 为 小 奇数 "分子 (计算 大 奇数 的 Jacobi 符号 
转化 为 计算 小 奇数 的 Jacobi 符号 ) 。 

(2) 性 质 2 把 计算 偶数 “分 子 ”转化 为 计算 奇数 “分 子 ”( 偶 数 的 Jacobi 符号 转化 为 
计算 奇数 的 Jacobi 符号 )。 


(3) 性 质 3 用 于 计算 [二 . 


(4) 性 质 4 ”最 重要 , 称 为 二 次 互 反 律 ,就 是 交换 “分 子 ”" 和 “分 母 "的 位 置 ,在 “分 母 ” 比 
“分 子 ” 大 时 使 用 。 

总 之 ,性 质 1,2,4 是 为 了 化 简 , 性 质 3 为 了 求 值 。 

使 用 的 顺序 一 般 是 性 质 2 一 3, 或 者 性 质 4 一 1 一 2 一 3。 序 列 2 一 3 指 先 考 察 “ 分 子 ” 是 
否 为 偶数 ,若是 则 利用 性 质 2, 然 后 利用 性 质 3 求 值 。 如 “分 子 ” 不 是 偶数 , 则 使 用 序列 4 一 
1 一 2 一 3, 即 利用 性 质 4 使 “分母 " 变 小 ,性 质 1 和 性 质 2 使 “分 子 ” 变 小 后 用 性 质 3 求 值 。 

例 8.2 计算 例 8. 1 中 的 Jacobi 符号。 


人 En (2 性 质 2-3 
二 (8)= - (Es) 性 质 4-1 

(5 人 全 ) ( 惑 ) 性 质 2-3 

(党 上 = 一 ( 药 性 质 4-1 
(总站 ) 园 性 质 2-3 

四 ( 趴 )- (让 性质 4-1 

= 各] 的 j== (站 ) 性 质 2-3 

一 (号 ) 一 起) 性 质 4.1 

二 Legendre 符号 的 含义 
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归纳 这 4 个 性 质 ,可 知 主要 的 运算 是 性 质 2 中 的 取 模 运算 ,性 质 3 中 的 2 的 寡 次 分 解 
运算 ,最 终 的 运算 , 若 n 为 奇数 ,a 二 2‘a1 ,其 中 ai 为 奇数 ,有 


E ) 他] (人 mod 2a] D-DD/s 
n n n n a 


于 是 可 以 设计 一 个 计算 (和 ] 的 算法 ,该 算法 无 须 分 解 的 因子 ,由 于 在 计算 中 使 用 
了 二 次 互 反 律 , 故 在 程序 中 使 用 递归 实现 更 加 容易 。 基 本 思想 是 Jacobi(a,n) 二 s。 


Jacobi(n mod al ,al ) 。 


算法 8.2 Jacobi 符号 (Legendre 符号 ) 的 计算 。 
输入 : 奇数 "人 3, 整数 a,0 达 an 一 1。 


输出 ,Jacobi 符号 (名) 当 n 为 素数 时 ,等 同 于 Legendre 符号 )。 


Jacobi (avn) 

{ 
If(a=0) Return(0); 
If(a=1) Return(1); 


将 a 表示 成 ax //a 的 2 的 宕 次 分 解 运算 ,其 中 ,ai 为 奇数 
If(IsEvenNumber (e)) s<* 1;  ”// 性 质 2, 寡 指数 。 为 偶数 , 故 寄 总 为 1 
Else 


{ 
If(n= 士 1 mod 8) se1; 
If(n= 士 3 mod 8) se-1; 
} // 性 质 3 
IE (n=3 mod 4) AND (ai=3 mod 4) s<-S7 
mnmoda; 
If(ai=1) Return(s); 
Else 
Return(s* Jacobi (ni,ai)); // 递 归 调用 ,性 质 4 
} 


算法 的 时 间 复 杂 度 为 O( (logzn)?)。 
到 此 ,可 以 给 出 Solovay-Strassen 测试 算法 ,该 测试 中 分 别 计算 x (各 和 yo 


n 
aw D2 mod 2 ,如 果 z= 一 > mod n, 则 输出 素数 ;否则 ,输出 合 数 。 合 数 的 结论 总 是 正确 的 
(根据 Euler 准则 ) ,但 输出 素数 时 不 一 定 是 素数 。 


算法 8.3 测试 是 否 为 素数 。 
输入 : 奇数 ，。 
输出 :"Prime" 或 "Composite"。 


Solovay- Strassen (n) 
{ 
随机 选取 整数 a, 使 得 a€[1,n-1]; 


一 人 


If (x=0) Return ("Composite"); 
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ya®™ 02 mod n; 
If (x=y mod n) Return ("Prime"); 
Else Return ("Composite"); 


8 Miller-Rabin 测试 * 


实际 中 ,通常 使 用 的 概率 素性 测试 方法 是 Miller-Rabin 测试 ,也 称 为 强 伪 素性 测试 。 
该 测试 基于 以 下 思想 。 

回顾 Fermat 测试 ,需要 计算 a”! mod n。 若 结果 为 1 则 输出 “素数 ”, 不 为 1 则 输出 
“ 合 数 ”"。 一 个 自然 的 想法 是 能 不 能 少 计算 一 点 。 

下 面 分 析 这 种 可 能 性 : 由 于 7 是 奇数 , 故 n 一 1 为 偶数 ,不 妨 设 为 n 一 1 二 21, 于 是 a”! 一 
(a')* ,考查 如 果 a 二 士 ] mod n, 就 直接 输出 “素数 ”, 没 有 必要 再 继续 计算 了 (因为 平方 后 
会 得 到 a"! 二 1 mod n)。 这 样 就 节省 了 计算 的 时 间 。 

进一步 而 言 ,如 果 n 一 1 二 24(k 宇 0), 则 

a =(a)* =(((a))).)? 
4 次 

同 前 面 的 分 析 , 如 果 w% 一 士 1l mod n, 则 必然 有 a"! 二 1 mod n, 直 接 输 出 “素数 ”, 不 用 
继续 计算 ;否则 ,如果 在 4 一 1 次 平方 的 过 程 中 ,有 一 个 为 一 1, 则 最 终 也 有 a"! 二 1 mod n, 输 
出 “素数 ”, 依 次 计算 a ,Ca )?,…, (a )“! ,那么 最 终 使 得 a”! 二 1 mod nn, 输 出 “素数 ”的 计 
算 序列 要 么 是 

a's a) see, a) 
士 1,1,…,1 
或 者 
人 
天 士 1, 天 士 1 天 士 1， 一 1， 1，…， 1 
即 在 第 i(i 二 0,1,…,k 一 1) 次 平方 后 ,等 于 一 1。 此 外 , 均 输 出 “ 合 数 ”。 

有 读者 会 疑问 如 果 第 i 次 平方 后 等 于 1, 不 也 可 以 使 得 最 后 有 a"! 二 1 mod n 吗 ? 是 
的 ,但 是 这 种 情况 下 ,1 mod nn 的 平方 根 不 是 十 1 ,说 明 n 不 是 素数 。 因 此 ,只 有 两 种 情况 。 
要 么 开始 为 土 1 ,要 么 在 第 i(i 一 0,1,…,k 一 1) 次 平方 计算 的 过 程 中 出 现 一 1 即 可 。 

根据 上 面 的 分 析 , 可 以 得 到 算法 如 下 。 


算法 8.4 Miller-Rabin 素性 测试 。 

输入 : 奇数 "全 3。 

输出 : 对 素性 的 判断 。 

Miller-Rabin (n) 

{ 把 na-1 写 成 mn-1=2*t, 其 中 七 是 一 个 奇数 : 
随机 选取 整数 a, 使 得 1<<a<n-1; 
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b<-a’ mod n; 

If b=1 mod n Return ("Prime"); 
For i=0 to k-1 

和 

If b=-1 mod n Return ("Prime"); 
Else 

bb mod n; 

Return ("Composite"); 


} 


可 以 证 明 Miller-Rabin 算法 的 错误 概率 , 即 输出 “素数 ”但 其 实 是 合 数 的 概率 为 1/4， 
这 里 不 再 给 出 证 明 。 

比较 Fermat 测试 , Solovay-Strassen 测试 和 Miller-Rabin 测试 三 者 的 精确 度 , 有 
图 8. 1 所 示 的 关系 。 


{nmlFermat(n)="Prime" 但 n 


实际 上 为 合 数 } 


{nlSolovay-Strassen(n)="Prime" 
但 实际 上 "为 合 数 } 


{nlMiller-Rabin(m)="Prime”" 
但 实际 上 "为 合 数 } 


图 8.1 三 种 测试 精确 度 的 比较 


可 见 Miller-Rabin 精确 度 最 高 ,错误 概率 最 小 。 同 时 计算 上 也 比 Solovay-Strassen 
测试 简单 (Solovay-Strassen 测试 需要 计算 Jacobi 符号 )。 


1] 计算 长 度 为 300bit 的 素数 大 约 有 多 少 个 ? 

2] 利用 Fermat 素数 测试 法 判别 整数 3089 可 能 为 素数 ,并 给 出 其 可 能 的 概率 。 

[3] 利用 Solovary-Strassen 概率 判别 法 判别 3229 可 能 为 素数 ,并 给 出 其 可 能 的 
概率 。 
4] 利用 Miller-Rabin 概率 判别 法 判别 3689 可 能 为 素数 ,并 给 出 其 可 能 的 概率 。 

5] 实现 Miller-Rabin 素数 检测 算法 ,测试 并 找到 一 个 对 你 而 言 最 大 的 梅森 素数 。 
6] 编写 Fermat 测试 、Solovay-Strassen 测试 、Miller-Rabin 测试 ,比较 它们 的 效率 。 
7] 编写 程序 产生 2” 左 右 的 大 素数 。 
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椭圆 曲线 群 


本 章 介 绍 在 椭圆 曲线 上 构造 的 群 ,并 基于 这 种 群 构造 DH 密 钥 协商 协议 .ElGamal 加 密 。 


快速 标量 点 乘 算法 。 


91 椭圆 曲线 群 的 概念 


1. 椭圆 曲线 的 定义 
椭圆 曲线 是 指 由 韦 尔 斯 特 拉 (Weierstrass) 方 程 , 即 
E: y +azy+t+by = 7 二 cr’:+dr+e 

所 确定 的 平面 ,其 中 ,bc,d 和 e 属于 F,F 是 一 个 域 .可 以 是 有 理 数 域 .复数 域 .有 限 域 ， 
密码 学 中 通常 采用 有 限 域 。 椭 圆 曲 线 是 其 上 所 有 点 (x,y) 的 集合 ,外 加 一 个 无 限 远 点 O 
(该 点 不 在 椭圆 曲线 已 上 , 记 为 0, 称 此 点 为 无 限 远 点 )。 

椭圆 曲线 上 可 以 提供 无 数 的 有 限 Abel 群 .具有 丰富 的 群 结构 ,不 同 的 参数 可 得 到 不 
同 的 曲线 ,形成 不 同 的 群 。 而 且 易于 计算 ,从 而 可 用 来 构造 密码 算法 。 在 密码 学 中 , 常 采 
用 下 列 形式 的 椭圆 曲线 , 即 


E: y =zx:+azx+b 

并 要 求 4as 十 2742 天 0, 尼 : y: 二 zx? 十 ax 十 b 可 以 构成 群 。 
这 个 要 求 的 原因 是 ; A== (a/3)3 十 (5/2)? 二 (4a 十 275? )/108 是 方程 E; y= 二 x 十 
az 十 0 的 判别 式 , 当 4a 十 275? 二 0, 则 方程 有 重 根 , 设 为 zx;, 则 点 Q, 二 (zo,0) 是 方程 到 一 


aF aF 9F [9F 
a9r ay az ay 


23 十 az 十 0 的 重 根 。 令 F(x,y) 二 一 x 一 ax 一 b, 则 


ydy 
0, 所 以 一 二 
@ 区 dz 


在 Qu 点 无 定义 , 即 曲线 下 : y* 二 zx 十 az 十 b 在 Q 点 的 切线 无 定义 ,因此 在 计算 Qu 点 的 标 
量 乘法 运算 时 无 定义 。 

2. 有 限 域 F, 上 的 椭圆 曲线 

密码 学 中 普遍 采用 的 是 有 限 域 上 的 椭圆 曲线 ,就 是 指 椭圆 曲线 方程 定义 式 中 ,所 有 的 
系数 都 是 某 一 有 限 域 中 的 元 素 。 这 种 有 限 域 可 以 是 F, ,9 通常 为 一 个 素数 寡 , 如 最 常见 的 
情形 是 g 二 p,p 为 一 个 大 于 2” 的 素数 ,或 者 go 一 2" (mm 二 160)( 这 里 介绍 第 一 种 情况 ,第 二 
种 情况 可 以 类 推进 行 定义 )。 
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考虑 有 限 域 F 上 的 椭圆 曲线 。 常 见 表达 式 为 y* 寺 xz? 十 ar 十 b mod p, 其 中 为 一 个 
大 素数 ,a,5,z,y 均 在 有 限 域 F, 中 , 即 从 {0,1,…,p 一 1} 上 取 值 , 且 满 足 4a? 十 27b? 一 0 
mod p 闫 0, 这 类 椭圆 曲线 通常 用 E, (a,5) 表 示 , 该 李 圆 曲线 只 有 有 限 个 点 数 N( 包 括 无 穷 
远 点 O) ,N 越 大 ,安全 性 越 高 ( 群 中 元 素 越 多 , 越 能 对 抗 穷 举 搜索 攻击 )。 于 是 ,一 个 很 自 
然 的 问题 就 是 : N 是 否 足够 大 。 关 于 N 的 数量 有 一 个 估计 , 即 Hasse 定理 。 

定理 9.1(Hasse 定理 ) 如 果 瓦 是 有 限 域 F 上 的 椭圆 曲线 ,NN 是 下 上 的 点 Czyy) 
(其 中 zyEZ) 的 个 数 , 则 |N 一 (十 1)| 委 2 Vp, 即 

p+1—2Vp<INI<p+1+2Vp 

例如 ,车 p= 二 5,Z; 上 的 椭圆 曲线 y 二 xz 十 az 十 bp 上 的 点 数 为 2 一 10。 


9.2 椭圆 曲线 群 的 构造 


1. 椭圆 曲线 群 的 构造 

一 般 来 说 ,E,(a,5) 由 以 下 方式 产生 。 

(1) 对 每 一 x (0 三 x 二 p,p 为 整数 ) ,计算 1=zx? 十 azt 十 b mod p。 

(2) 判定 1 在 模 p 下 是 否 为 二 次 剩余 (利用 Euler 准则 ) ,如 果 不 是 , 则 曲线 上 没有 与 
这 一 zx 相对 应 的 点 。 如 果 有 , 则 求 出 两 个 平方 根 (1 二 0 时 只 有 一 个 平方 根 ) 。 

例 9.1 /一 23,a 一 0 一 1 ,方程 为 光一 好 十 z 十 1,403 十 27 居 一 8 天 0, 图 形 是 连续 曲线 ,如 
图 9.1(a) 所 示 。p 二 11,4 二 一 1,6 二 0, 方 程 为 六 二 x 一 x ,ai 十 27B 4 天 0, 如 图 9. 1(b) 
所 示 。 


1 L 
2 = 0 | ;3 


(a) 椭圆 曲线 y=x3+x+1 
图 9.1 例 9.1 用 图 


136 


ee 第 9 章 椭圆 曲线 群 mm 


(b) 椭圆 曲线 =x3-x 
图 9.1 ( 续 ) 


主要 对 第 一 象限 的 整数 点 感 兴趣 ,用 EF, (a,5) 表 示 该 方程 定义 的 点 集 {(x,y)10 志 x 
< bp,0 委 >y<b,z,yEZ)UO。 表 9.1 给 出 了 点 集 Ezs(1,1)。 


表 9.1 点 集 E,(1,1) 


(0,1) (1,7) (3,10) (4,0) (5,4) (6,4) (7,11) 
(0,22) (1,16) (3,13) (5,19) (6,19) (7,12) 
(9,7) (11,3) (12,4) (13,7) (17,3) (18,3) (19,5) 
(9,16) (11,20) (12,19) (13,16) (17,20) (18,20) (19,18) 


图 9.2 给 出 了 这 些 点 的 位 置 。 


ye [ 
全 | 全 全 
Ht + 生 
HH 
+ 
出 
HH 
全 -二 | 车 硬 国 
5 人 TH 


图 9.2 点 集 Ezs(1,1) 
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思考 9.1 给 出 点 集 Bi (一 1,0), 见 表 9. 2。 

表 9.2 点 集 E( 一 1,0) 
(1,0) (4,4) (6,1) (8,3) (9,4) (10,1) 
(0,0) (4,7) (6,10) (8,8) (9,7) (10,10) 


2. 椭圆 曲线 在 F, 下 的 Abel 群 

定理 9.2 椭圆 曲线 上 的 点 集合 E, (a,5) 对 于 以 下 定义 的 加 法 规则 构成 一 个 
Abel 群 。 

椭圆 曲线 上 的 加 法 运算 定义 如 下 : 如 果 其 上 的 3 个 点 位 于 同一 直线 上 ,那么 它们 的 
和 为 O。 

从 图 形 上 直观 地 进行 定义 和 解释 如 下 (图 9. 3) 。 


2 ?了 


1 
| 
1 
1 
一 
1 2 
1 
1 
| 


- 
由 
© 
2 
S 


R=P+O R=P+P=2P 


图 9.3 P 十 Q 的 几何 意义 ( 左 ) 和 2P 的 几何 意义 ( 右 ) 示 意图 


(1) O 是 加 法 单位 元 , 即 对 于 椭圆 曲线 上 任 一 点 了 ,其 与 关于 xz 轴 的 对 称 点 的 连 线 与 
无 穷 远 点 O 共 线 。 由 P 十 (一 P)=0, 有 P 十 O=P。 

(2) 一 条 与 X 轴 垂 直 的 线 和 曲线 相交 于 两 个 点 ,这 两 个 点 的 X 坐标 相同 , 即 已 ,一 
(x,y) 和 PP, 二 (zx, 一 y)。P1P, 连 线 延 长 到 无 穷 远 时 ,与 曲线 相交 于 无 穷 远 点 0, 因 此 Pi， 
Ps,0 三 点 共 线 ,所 以 Pi 十 P, 十 0 二 0,Pi 十 P, 二 0, 即 P, 二 一 Pi, 故 椭圆 曲线 的 性 质 决 定 
P 与 其 逆 元 成 对 在 椭圆 曲线 上 。 

(3) 横 坐 标 不 同 的 两 个 点 P 和 Q 相 加 时 ,P 十 Q 的 定义 如 下 : 先 在 它们 之 间 画 一 条 
直线 并 求 直线 与 曲线 的 第 三 个 交点 一 RR, 由 P 十 Q 一 R= 二 O, 得 到 PQ 二 R。 

(4) 两 个 相同 点 P 相 加 时 ,通过 该 点 画 一 条 切线 .切线 与 曲线 交 于 另 一 点 一 RR, 则 
P 十 P 一 R=2P 一 R= 二 0, 于 是 2P 二 R。 类 似 地 ,可 以 定义 3Q=Q+Q+Q 等 。 

可 以 证 明 , 以 上 方法 定义 的 加 法 运算 可 以 得 到 一 个 Abel 群 , 即 可 以 得 到 以 下 加 法 
规则 。 


(1) O+O=0。 

(2) 对 所 有 的 点 P(x,y)EE,(a,b), 有 P+0O=O+P=P。 

(3) 对 所 有 的 点 P(x,y)EE,(a,b), 有 P+( 一 P) 二 0; 即 点 了 的 逆 为 一 P= 
{ni = 
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(4) 令 P=(zi,y)EE,(a,b), 和 Q=(xs,y2) EE,(a,b), 有 8 PQ, 则 
P+i+Q= (zs,y) EE, (a,b) 
其 中 : zx3== 和 2 一 zi 一 x2 ,ys 二 A(X1 一 ZX3) 一 yi 


Nn P#Q 
a — Ly 
A= 和 
3z1 十 @ 前 二 沪 
2y 


(5) 对 于 所 有 的 点 P 和 Q ,满足 加 法 交换 律 , 即 P+Q=Q+P。 
(6) 对 于 所 有 的 点 P.Q 和 尺 ,满足 加 法 结合 律 , 即 (P 十 Q) 十 R= 二 P 十 (Q 十 R)。 


由 规则 (4) 知 ,加 法 具有 封闭 性 。 规 则 (2) 说 明 存 在 单位 元 O。 规 则 (3) 说 明 任 意 元 素 
也 均 存 在 逆 元 一 已。 再 加 上 规则 (5) 加 法 满足 交换 律 和 (6) 加 法 满足 结合 律 , 故 E, (a,6) 对 
于 椭圆 曲线 加 法 构成 一 个 Abel 群 。 规 则 (4) 的 计算 在 GF(p) 下 进行 , 即 对 p 取 模 。 

例 9.2 椭圆 曲线 Ex(1,1), 设 P=(3,10),Q=(9,7)。 求 P+Q,2P。 
A=(7—10)/(9 一 3)= 一 3/6 三 11 mod 23 
Zzs=11:—3—9=109 二 17 mod 23 
y=11(3—17)—10=—164 二 20 mod 23 

于 是 ,P 十 Q 二 (17,20) ,可 见 其 仍 为 Ess(1,1) 中 的 点 。 

下 面 求 2P。 


) 一 (3。32: 十 1)/(2。10) 一 28/20 生 6 mod 23 
za 一 6 一 3 一 3 一 30 生 7 mod 23 
ys=6(3—7)—10= 一 34 三 12 mod 23 

所 以 2P 一 (7,12) 。 

乘法 规则 如 下 。 


(1) 如 果 A 为 整数 , 则 对 所 有 的 点 PEE,(a.5) 而 言 有 
AP 一 P 十 P 十 … 十 P,& 个 了 相 加 
(2) 如 果 s 和 1 为 整数 , 则 对 所 有 的 点 PEE,(a.5) 而 言 ,有 
(s+#)P=sP+tP ,s(tP)=(st)P 


算法 9.1 求 椭 圆 曲 线 EE,(a.5) 上 点 的 伪 代 码 。 
输入 : 模 p, 横 坐标 a, 纵 坐标 5。 
输出 : (zx, 土 Vw) ,其 中 w=y?。 
ECPoints (p,a,b) 
{ 
0 


While (x<p) 
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we (xs+ ax+ b)mod p; 
IE(w 是 ze 中 的 完全 平方 ) 输 出 (x,Vw)，(x,-Vw) 7 
Ea 

} 

Return ("Prime"); 


} 


上 述 介绍 的 是 基于 F, 的 椭圆 曲线 ,基于 Ex 的 椭圆 曲线 可 以 类 似 构 造 。 


3. Fz 的 椭圆 曲线 的 构造 

椭圆 曲线 群 中 的 计算 可 以 通过 Re 域 来 定义 ,这 个 域 中 集合 的 元 素 是 比特 字符 串 ,这 
些 字符 串 可 以 当 作 带 有 F。 中 系数 的 多 项 式 。 关 于 这 些 元 素 的 加 法 与 乘法 与 多 项 式 的 加 法 
与 乘法 是 相同 的 。 因 为 域 F* 的 特征 为 2, 则 域 Fx 上 椭圆 曲线 忆 的 普通 方程 可 以 写 为 

E: y +zy=x +ar’+b6 

其 中 ,6b 隆 0,z,y,a,b 的 值 是 代表 比特 字符 串 的 多 项 式 。 

在 域 Ff 上 定义 运算 规则 如 下 。 

设 书 = 一 (zy),P: 一 (zy) 是 曲线 已 上 的 两 个 点 ,O 为 无 穷 远 点 , 则 

(1) O 十 已 王 P 十 O。 

(2) 一 忆 一 (zz 十 yi)。 
Zs 二 十 4 十 zi 十 xz 十 a 


(3) 如 果 Ps = (zs,y)= 二 Pi 十 P: 关 O, 则 ， 
: 一 (zl 十 zs) 十 zs 十 汶 


4= 当 2 ee ,ZI1 天 To 
1 
中 
A= 导 2 
Il 


1 一 2 


例 9.3 用 不 可 约 多 项 式 f(z) 一 xz 十 x 十 1 选择 具有 元 素 {0,1,8 ,8 .83 ,84 .85 8 ) 
的 Fs ,这 就 是 说 ,gs 十 g 十 1 一 0 或 中 一 g 十 1, 因此 可 算出 g 的 其 他 寡 。 

记 0 为 000,1 为 001,g 为 010,g? 为 100,83 一 5 十 1 为 011,8: 一 8 十 g 为 110,g’ 一 
82 十 g 十 1 为 111,g5 一 82 十 1 为 101。 

运用 椭圆 曲线 y 十 zy 二 zx 十 gx 十 1, 有 a 二 g* 且 5 二 1, 因 此 可 以 求 出 曲线 上 的 点 ， 
如 图 9.4 所 示 。 


| 

(0,1) (0,1) 有 

2 

(82 ,1) (82 ,85) 鸭 

(8 8 ) (8 ,8 ) 于 

8 
(8 ,1) (8 2) 1 上 | 

(8 8) (8 85) 0 


LR 
(a) 坐标 椭 贺 上 的 点 (b) 椭圆 曲线 上 的 点 
图 9.4 基于 Fz 的 椭圆 曲线 上 的 点 (n 二 3) 
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例 9.4 求 R=P 十 Q, 这 里 P=(0,1),Q=(g?,1), 则 4=0,R=(g’,g')。 
例 9.5 求 R=2P, 这 里 P=(g?,1), 则 4=g’ 十 l/g:==g’? 十 g’ 二 g 十 1],R==(g' ,g’)。 


可 5 椭圆 曲线 密码 


9.3.1 椭圆 曲线 上 的 DH 密 钥 协商 协议 


一 个 直观 的 类 比 是 : 定义 在 椭圆 曲线 群 (E, 十 ) 上 的 加 法 操作 对 应 于 Z; 上 的 模 p 乘 
法 操作 ,多 次 加 法 操作 对 应 于 模 p 的 指数 运算 。 


1. 椭圆 曲线 离散 对 数 问题 (ECDLP) 

设 p 为 某 个 大 素数 ,FE 是 F, 上 的 椭圆 曲线 , 设 G 是 E 的 一 个 循环 子 群 ,P 是 G 的 一 
个 生成 元 ,QEG。 已 知已 和 Q, 求 满足 zP=Q 的 唯一 整数 n,0 三 n 三 ord(P) 一 1, 称 为 椭 
圆 曲 线 离散 对 数 问题 。 

ECDLP 其 实 就 是 DLP 的 椭圆 曲线 版 本 ,即将 原来 的 Z; 群 替换 成 椭圆 曲线 上 
Abel 群 。 


2. 椭圆 曲线 Diffie-Hellman 问题 (ECDHP) 

同 ECDLP 一 样 ,ECDHP 问题 就 是 在 DHP 的 椭圆 曲线 版 本 。 

于 是 可 以 得 到 类 似 于 5. 3 节 介 绍 的 DH 密 钥 交换 协议 的 椭圆 曲线 版 本 。 描 述 如 下 。 

(1) 假设 Alice 与 Bob 要 在 他 们 之 间 建 立 一 个 共享 的 密 钥 。Alice 和 Bob 首先 选 定 
公共 参数 : 取 某 个 大 素数 p,E 是 F, 上 的 椭圆 曲线 ,E。 是 相应 的 Abel 群 ,G 是 E, 中 具有 
较 大 素数 阶 的 点 。 

(2) Alice 秘密 选 定 一 个 整数 a:;1 二 a 三 n 一 1, 并 计算 A 二 aG。 发 送 A 给 Bob。 

(3) Bob 秘密 选 定 一 个 整数 5b:1 三 bn 一 1 ,并 计算 B= 二 bG。 发 送 B 给 Alice。 

(4) Alice 计算 k= 二 aB。 

(5) Bob 计 算 k=6bA。 

容易 看 到 ,Alice 和 Bob 计算 得 到 的 是 相同 的 , 即 

aB=a(bG)= (ab)G=b(aG)=6A 
显然 ,椭圆 曲线 上 Diffie-Hellman 密 钥 交 换 协议 的 安全 性 基于 ECDLP 的 困难 性 。 


9.3.2 ElGamal 加 密 的 椭圆 曲线 版 本 


一 个 直接 构造 椭圆 曲线 上 的 公 钥 密码 体制 的 方法 是 使 用 某 种 编码 的 方法 ,将 明文 编 
码 为 椭圆 曲线 上 的 一 个 点 ,然后 利用 ElGamal 的 思路 .利用 DHP 的 困难 性 ,构造 一 个 共 
享 密 钥 来 加 密 明 文 ( 某 个 椭圆 曲线 上 的 点 ) 。 

类 比 EIGamal 密码 体制 (运算 从 模 乘 变 为 椭圆 曲线 群 的 加 ) ,容易 给 出 一 种 密码 体制 
如 下 。 
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(1) 密 钥 生成 算法 : 
设 已 是 有 限 域 F 上 的 椭圆 曲线 ,G 是 EE, 中 具有 较 大 素数 阶 的 一 个 点 。 随 机 
选择 一 个 整数 ,使 得 2<<d<<n 一 1, 计 算 P 一 dG。d 是 私 钥 ,(P,G,E,n) 是 公 钥 。 


(2) 加 密 算 法 : 
将 明文 编码 为 E。 中 的 元 素 P,( 即 椭圆 曲线 上 的 一 个 点 ) ,再 选取 随机 数 ~:1 反 ~ 
三 n 一 1, 计 算 
ci 一 r。CG 一 (ziyy) 
cz 一 也。 十 r。 卫 一 (zzyyz) 
(3) 解密 算法 : 


利用 私 钥 d, 计 算出 P, 二 cs 一 4d， ci。 对 P。 解码 得 到 明文 mm。 


例 9.6 取 p 二 751,E,( 一 1,188), 即 椭圆 曲线 为 y 二 zx 一 x 十 188,Er( 一 1,188) 的 
一 个 生成 元 是 G==(0,376) ,A 的 公 钥 为 P= 二 (201,5)。 假 定 B 已 将 要 发 送 给 A 的 消息 肉 
入 到 椭圆 曲线 上 , 即 点 P, 二 (562,201),B 选取 随机 数 * 一 386, 由 7rG 王 386(0,376) 一 
(676,558) ,P, 十 rP 一 (562,201) 十 386(201,5) 一 (385,328) 。 得 到 的 密 文 为 {(676,558) ， 
(385,328) } 。 


9.3.3 ”椭圆 曲线 快速 标量 点 乘 算法 


从 密码 学 应 用 可 以 看 到 ,在 椭圆 曲线 群 中 最 重要 的 运算 是 标量 乘 , 即 对 任意 正 整 数 
及 E,(a,b) 中 非 零 元 P, 计 算 m， P。 计 算 标量 乘 的 方法 有 很 多 种 ,最 常用 的 方法 是 倍加 
法 ,即将 乘 子 m 表示 成 系数 为 0 或 1 的 2 的 多 项 式 , 然 后 反复 进行 * 信 一 加 ”及 不 同 点 加 
的 运算 。 
例 9.7 Ei( 一 1,5) 中 =(7,1), 求 mP。 
mP= 15(7,1) 一 2(2(2(7,1) 十 (7,1)) 十 (7,1)) 十 (7,1) 
一 2(2(11,13) 十 (7,1)) 十 (7,1)) 十 (7,1) 
一 2(2(8,13) 十 (7,1)) 十 (7,1) 
一 2((14,7) 十 (7,1)) 十 (7,1) 
= 2(12,2) 十 (7,1) 
二 (8,4) 十 (7,1) 
Ll 
计算 15。(7.1) 需 要 进行 3 次 * 倍 一 加 ”和 3 次 加 运算 。 如 果 采 用 符合 二 元 法 (符合 
二 元 法 是 指 : 将 乘 子 表示 成 系数 为 0,1 或 一 1 的 2 的 多 项 式 , 然 后 再 反复 进行 “ 倍 一 加 ”及 
不 同 点 加 的 一 种 标量 乘 方法 ) , 则 只 需要 4 次 * 倍 一 加 ?与 1 次 加 , 即 
mP= 15(7,1) 一 (2 一 1)(7,1) 
2200207 DY = 7, DY 
= 2(2(2(11,13))) — (7,1) 
= 2(2(10.14))— (7,1) 
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= 2(13,8) — (7,1) 
= (7,16) 一 (7,1) 
= (7,16) 十 (7,16) 
= (11,4) 
思考 9.2 这 一 算法 和 RSA 中 用 到 的 计算 模 寡 的 "平方 一 乘 "方法 是 否 构成 类 比 。 
其 实 , 类 比 关系 十 分 明显 。 在 模 宕 运算 中 ,“ 乘 ”为 基本 运算 ,椭圆 曲线 标量 乘 中 “加 ” 
为 基本 运算 。“ 平 方 ” 为 两 次 * 乘 "“ 倍 ”为 两 次 加”。 因 此 ,构成 非常 明显 的 类 比 。 


[1] 设 妈 十 ax? 十 bx 十 c 是 根 @1 .as as 的 三 次 多 项 式 ,证 明 : w 十 os 十 ws 一 一 a。 

[2] 椭圆 曲线 El (1,6) 表 示 yy 三 x 十 x 十 6 mod 11, 求 其 上 的 所 有 点 。 

[3] 已 知 点 G==(2,7) 在 椭圆 曲线 Eu(1,6) 上 , 求 2G 和 3G。 

[4] F; 上 的 椭圆 曲线 已: y* 二 x 一 x 的 有 理 点 集合 为 {(0,0),(1,0),(2,1),(2,4)， 
(3,2),(3,3),(4,0),O} ,计算 每 个 点 的 阶 。 

[5] 在 有 理 数 域 上 定义 椭圆 曲线 已 : y* 二 xz 一 2, 验 证 (3, 土 5) 是 椭圆 曲线 上 的 点 ,并 


求 出 在 这 条 曲线 上 的 另外 一 个 点 。 

[6] 证 明 : 如 果 点 P(z,0) 是 椭圆 曲线 上 的 点 , 则 2P 二 0。 

[7] 证 明 : 如 果 P,Q,R 是 椭圆 曲线 上 的 点 ,那么 了 十 Q 十 R 二 0 的 充分 必要 条 件 是 
P,Q,R 共 线 。 

[8] 点 Q==(10,5) 是 有 限 域 F3 上 椭圆 有 曲线: y= 二 十 13z 十 22 的 点 , 试 计算 点 Q 
的 阶 以 及 由 Q 生成 的 循环 子 群 。 

[9] 编写 程序 实现 椭圆 曲线 快速 点 乘 算法 。 

[10] 编写 程序 实现 椭圆 曲线 版 本 的 EIGamal 加 密 。 


10 合 
第 10 于 大 电 数 分 解 算法 


对 RSA 最 直接 的 攻击 就 是 因子 分 解 。 如 果 能 够 分 解 n 得 到 p 和 g, 便 可 以 得 到 
gln) 二 (p 一 1)(g 一 1)。 根据 公 钥 e。 求 得 私 钥 d 寺 e-! mod gp(n), 便 完全 攻破 。 因 子 分 解 
的 平凡 办 法 就 是 试 除法 ,其 基本 思想 是 尝试 小 于 Vn 的 所 有 素数 去 除 n, 直 到 找到 一 个 因 
子 , 这 种 方法 当 n 较 大 时 ,在 现实 中 是 不 可 行 的 。 


10.1 Pollard Rho 方法 


Rho 方法 由 Pollard 于 1975 年 提出 ,用 于 寻找 小 因子 。 基 于 一 种 在 有 限 集合 中 寻找 
碰撞 的 思想 ,其 基本 原理 是 : 设 /:s 一 s 是 一 个 随机 函数 ,S 是 个 元 素 的 有 限 集 。 设 zx。 
是 S 中 的 一 个 随机 元 素 , 考 查 序列 zo ,zi ,其 中 zi+1 王 f(zi)(i 宇 0)。 由 于 S 是 有 限 集 , 则 
该 序列 最 终 必然 出 现 循环 。 

例 10.1 函数 f: {1,2,…,13} 一 {1,2,…,13}。 定 义 如 下 : 
f(D)=4,f(2)=11,f(3)=1,f(4)=6,f(5)=3,f(6)=9,f(7)=3, 
f(8)=11,f(9)=1,f(10)=2,f(11)=10,f(12)=4,f(13)=7 

容易 画 出 函数 图 如 图 10. 1 所 示 。 
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图 10.1 随机 映射 了 的 函数 图 


很 明显 一 个 问题 是 : 大 概 多 少 步 之 后 出 现 循环 , 即 出 现 碰撞 需要 的 步 数 。 

设 走 到 循环 开始 的 位 置 需要 wx 步 ( 也 称 为 尾 长 度 ) ,循环 的 长 度 为 v 步 ( 称 为 圈 长 ), 因 
此 ,发 现 碰撞 需要 的 步 数 为 v 十 w( 也 称 为 p 长 度 ,o 字 母 的 形状 就 是 由 尾 和 圈 组 成 的 ,po 在 
希腊 字母 中 叫 作 Rho) 。 关 于 随机 映射 或 者 随机 图 的 研究 表明 ,x 的 期 望 是 Vrn/8, 圈 长 
度 的 期 望 也 是 Vxn/8, 于 是 p 长 度 为 Vrn/2。Rho 方法 在 解决 离散 对 数 问题 中 也 有 应 用 。 

下 面 给 出 Pollard 的 Rho 因子 分 解 算法 。 
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算法 10.1 Pollard 的 Rho 因子 分 解 算法 。 
输入 : 合 数 n,n 不 为 某 个 素数 的 寡 。 
输出 : n 的 非 平 凡 因子 d。 


Rho (n) 
{ 
a*2,b*2; 
For i=1 To… 
{ 
aa’+1l mod n; 
b<b:+1 mod n,b*b:+1 mod n; 
d=gcd(a-b,n); 
If 1<d<n，Return (d) 
IE d=n, Return("Failure"); 


} 


这 里 的 算法 在 平凡 的 Rho 方 法 的 基础 上 做 了 一 点 改进 , 即 计算 (zi,zsi) 直 到 发 现 两 
者 相当 ,该 方法 称 为 Floyd 循环 查找 算法 ,可 节省 存储 的 空间 。 


102 ”Pollard p 一 1 分 解 算法 


这 种 方法 的 思想 是 : 设 p 是 要 分 解 的 数 n 的 一 个 素数 因子 ,p 一 1 的 因子 分 解 中 的 素 
数 寡 次 最 大 为 g. 即 gp 一 1, 如 果 gB, 那 么 必 有 (p 一 1)1B1。 例 如 ,假设 p 一 1 二 5280 王 
25。3。5。11, 素 数 的 窜 次 最 大 为 2 二 32, 可 选择 B 一 32。 

由 Fermat 定理 ,2*7! 夺 1 mod p, 于 是 2 二 1] mod p, 即 p1(23 一 1), 又 因为 pln, 所 
以 plgcd(n,2' 一 1)。 于 是 可 以 得 到 一 个 n 的 非 平 凡 因 子 gcd(n,23! 一 1)。 

下 面 给 出 Pollard p 一 1 算法 ,算法 中 的 B 是 一 个 猜测 值 , 即 对 p 一 1 中 最 大 素数 血 的 
猜测 。 


算法 10.2 分 解 的 因子 。 
输入 : 要 分 解 的 合 数 n, 对 p 的 因子 分 解 中 的 素数 血 的 最 大 值 的 猜测 B。 
输出 : n 的 因子 。 


PollardFactoring (n,B) 
{ 

ae 2 

For j<2 To B 

{ aa modn; 

} 

dgcd(a-1,n); 

If 1<d<n Return (d); 
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Else 
Return ("Failure"); 


} 


另外 一 种 方法 也 可 以 得 到 p 一 1 的 倍数 ,可 能 会 缩小 计算 量 ,这 里 先 引 入 光滑 
(smooth) 的 概念 ,简单 地 说 ,就 是 素数 因子 的 上 界 。 

定义 10.1 设 B 是 一 个 正 整 数 。 当 的 所 有 素数 因子 不 大 于 B 时 , 称 整数 为 B 
光滑 的 (B smooth) 。 

例如 ,假设 p 一 1 二 5280 二 2”。3。，5。11, 则 p 一 1 是 11 光滑 的 (B= 二 11)。 

下 面 考虑 如 何 算出 一 个 数 Q, 满 足 (p 一 1) 1Q 且 计 算 量 较 小 。 一 个 自然 的 想法 是 假设 
Pp 一 1 是 B 光滑 的 ,那么 计算 Q= 11 ,0 即 小 于 B 的 素数 的 乘积 ,但 是 ,该 数 可 能 不 满 
足 (p 一 1)1Q, 因 为 没有 考虑 p 一 1 中 素 因 子 可 能 有 徊 次 。 于 是 ,要 适当 放大 Q。 考 查 某 个 


lnn 


/一 1 的 因子 9, 其 最 大 的 寡 次 为 1,4 <w, 于 是 /<| ng |。 这样, 令 


Q= TT, 
这 样 ,必然 有 (p 一 1)1Q, 于 是 p1(29 一 1) ,gcd(29 一 1,n) 即 为 n 的 非 平 凡 因 子 。 下 面 给 出 
算法 。 


算法 10.3 ”分解 的 因子 。 
输入 : 要 分 解 的 合 数 n, 对 p 一 1 的 素 因子 的 最 大 值 的 猜测 B。 
输出 : n 的 因子 。 


PollardFactoring (n,B) 
{ 
an 2,q 27 
While (q<B and q€ Prime) 


dgcd(a-l1,n); 

If 1<d<n Return(d); 
Else 

Return ("Failure"); 


} 


可 见 , 计 算 模 乘 的 时 间 为 O(Blnn/1nB)。 
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103 ”随机 平方 法 


该 方法 的 基本 思想 是 : 假如 xz 和 y 是 整数 ,上 且 x? 三 y? mod ,但 z 天 士 y mod n。 于 
是 nn 整除 zx? 一 y= 二 (x 十 y) (x 一 y), 但 是 不 能 整除 (x 一 y) 或 者 (x 十 y)。 因 此 gcd(zx 十 
ysn)( 或 者 说 gcd (zx 一 y,n)) 一 定 是 的 一 个 平凡 因子 。 例 如 , 10 三 32? mod 77, 则 
gcd(10 十 32,77) 二 7 是 77 的 一 个 因子 。 
通常 的 策略 是 随机 找 几 个 数 , 不 妨 称 为 x; ,这 些 数 的 平方 模 的 素数 因子 都 在 一 个 集 
合 内 ,这 个 集合 称 为 因子 基 B。 如 果 把 这 些 x? 相 乘 ,发 现 其 相同 素数 因子 的 寡 次 为 偶数 
次 , 即 意 味 着 是 一 个 数 1 的 平方 。 于 是 找到 了 两 个 数 (][ (x;))?=z。 
例 10.2 假定 n=15770708441, 令 B= 二 2,3,5,7,11,13。 设 法 找到 几 个 = ,使 得 其 平方 
后 取 模 的 因子 在 这 个 集合 中 。 考 虑 2 二 8340935156 ,x 二 12044942944,z 二 2773700011。 
2?=8340935156? 二 3。7 mod 7 
zx2=12044942944: 二 2。7。13 modn 
23=2773700011? 二 2。3。13 modn 
把 它们 相 乘 ,得 到 (zi ， zs， zz3)? 二 (2。，3。7。.13)* mod n, 即 9503435785? 一 5462 
mod n。 然 后 计算 gcd(9503435785 十 546,n) 得 到 的 素数 因子 。 
但 问题 是 如 何 得 到 这 些 * ,使 得 它们 的 素数 因子 能 在 集合 B 中 。 通 常 集合 B 中 的 素 
数 因子 都 不 大 ,这 意味 着 <? 模 n 比较 小 , 即 x? 和 的 倍数 比较 接近 。 于 是 一 个 自然 的 想 
法 是 , 令 z;==j 十 [Vkn 1 二 0,1,2,…;k 二 1,2,…)。 这 些 数 平方 后 一 般 是 模 n 后 大 于 0 
的 。 如 果 取 x; 二 %n % 则 通常 平方 模 n 会 比 小 一 点 。 因 此 ,把 一 1 也 加 入 到 B 集合 中 。 
例 10.3 假设 n=1829, 取 B= 一 1,2,3,5,7,11,13。 计 算 Vn= 二 42. 8, V27 一 60. 5， 
V3n 二 74.1, V47 一 85.5。 假 定 取 > 一 42,43,60,61,74,75,85,86。 可 得 到 zx? modn 在 B 
上 的 分 解 。 
4 三 42 三 一 65 三 (一 1)。5。13 
2 二 43: 寺 20 二 2?。5 
妾 二 61 三 63 二 3:。7 
| 
85 二 一 91==( 一 1 =7213 
2 二 86' 寺 80 三 2:。5 
如 果 将 这 些 分 解 结果 用 B 中 元 素 的 奇数 或 者 偶 次 窜 的 向 量 表示 , 则 更 加 清晰 。 
例如 ， 
xi 一 (1,0,0,1,0,0,1),z 一 (0,0,0,1,0.0,0) ,zs 一 (0,0,0,0,1,0,0) 
zi=(Ly05030505130) 5 = (130,0505150y1) yz =(0,030,1;03050) 
容易 观察 到 = z。， zs，。 xz; 能 够 使 B 中 元 素 出 现 的 血 次 为 偶数 , 即 找到 一 个 平方 数 
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(42。43。61。85)?* 寺 (2。3。5。7。13)* 寺 901? mod 1829。 于 是 gcd(1459 十 901,1829) 
二 59 得 到 一 个 非 平凡 因子 59 。 

前 面 介绍 了 3 种 先驱 算法 。 实 际 中 大 整数 因子 分 解 最 有 效 的 算法 是 3 种 , 即 Lenstra 
椭圆 曲线 因子 分 解法 (Pollard p 一 1 方法 用 于 随机 椭圆 曲线 群 )、Pomerance 的 二 次 得 法 
(quadratic sieve) ,Pollard 数 域 得 法 Cnumber field sieve) (两 者 都 来 源 于 随机 平方 法 )。 最 
近 发 展 起 来 的 是 数 域 得 法 ,其 渐进 时 间 比 其 他 两 个 算法 都 要 小 。 


编写 程序 实现 三 种 大 数 分 解 算法 。 
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11 釜 
入 本 可 训 散 对 数 算法 


第 10 章 介 绍 了 公 钥 密码 学 中 一 个 重要 的 困难 问题 一 一 大 数 分 解 问题 的 算法 ,本 章 介 
绍 公 钥 密 码 学 中 另 一 个 困难 问题 一 一 离散 对 数 的 算法 。 
本 章 的 重点 是 指数 演算 法 ,难点 是 Pohlig-Hellman 算法 。 


111 小 步 大 步 算法 


先 穷 举 搜索 法 。 这 是 一 种 平凡 方法 ,对 任意 群 有 效 , 即 计算 oo ,al ,a?,…, 直 到 得 到 p 
为 止 。 该 方法 要 O(n) 次 乘法 ,这 里 是 a 的 阶 , 且 n 较 大 时 ,该 算法 的 效率 很 低 。 

小 步 大 步 算法 (baby step giant step) 

该 算法 由 Shank 提出 , 故 也 叫 作 Shank 算法 。 该 算法 是 通用 算法 ,对 任意 群 有 效 。 
假定 需求 的 是 在 群 G 中 的 z=log,B。 

如 果 令 mm 二 [Vn 1.n 为 群 的 阶 , 则 z 表示 为 x 二 mj 十 i, (0 过 i,j 声 m 一 1) ,因此 p=’ 二 
a"a', 妈 Bla ’)=a™ 。 

思考 11.1 如 何 让 等 式 Ba 一) 一 om 成 立 ? 

等 式 中 除了 i,j 未 知 以 外 ,其 他 量 均 已 知 ,所 以 目标 是 找到 i,j}。 由 于 0<i,j 志 m 一 1， 
且 计 算 aw 的 计算 量 较 小 ,于 是 可 以 先 计算 出 m 个 值 , 即 

a ht dd 

不 妨 称 这 些 值 为 一 个 查询 表 , 用 上 表示。 然后 去 找 i, 办 法 是 计算 B,Ba ,Ba ?，…， 
Ba,…。 注 意 ,每 计算 一 个 数 ,就 和 查询 表 对 照 ,看 是 否 有 相等 的 。 如 果 发 现 有 相等 的 ， 
即 找到 i,j。 求 出 z 一 zz 十 i。 

一 个 常见 的 优化 方法 是 构造 有 序 的 查询 表 , 这 样 在 查找 时 更 快 一 些 。 查 询 表 的 构造 
需要 O(n) 时 间 计 算 a 的 n 个 竹 .O(nlgn) 时 间 对 个 元 素 排 序 (如 快速 排序 )。 如 果 和 忽略 
Odgn) , 则 预先 计算 的 时 间 为 O(n)。 预 先 计算 不 考虑 在 计算 离散 对 数 问题 所 耗 时间 , 于 
是 小 步 大 步 算法 可 以 在 O(1) 时 间 内 完成 对 个 有 序 元 素 的 查找 需要 Ogn) 时 间 ( 如 二 
分 查找 法 ,不 考虑 ) ,需要 的 存储 空间 为 O(n)。 这 结果 比 穷 举 搜索 法 的 计算 时 间 O(n) 要 
好 ,但 是 穷 举 搜索 需要 的 空间 为 O(1)。 可 见 ,小 步 大 步 算 法 是 用 空间 代价 换取 了 时 间 
效率 。 
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算法 11.1 Baby Step Giant Step 算法 ,计算 log.p 。 
输入 : 任意 循环 群 G, 阶 为 n,a,B。 
输出 : log。B。 


Baby- Step-Giant- step (G,n,a,B) 
{ 
me[Vn l; 
For j0 Tom-1; 
computing am 7 
save and sort (ja ) (call it 工 )7 
For i< 0 Tom-1 
Y“ Bto ) 7 


Search y in L If y=a™ Return (mj+i); 


例 11.1 设 在 群 Zs 中 计算 logs525。 
809 是 素数 ,3 是 Zsos 的 生成 元 ,该 群 的 阶 为 808。 有 a= 二 3,B== 525,m 二 [Vn 1= 


[ V808 |=29,a" mod 809=3” mod 809=99。 


(j ,99 mod 809)=(j,3’)=[(1,0),(1,99),(2,93),(3,308),(4,559), 
(5,329),(6,211),(7,664),(8,207),(9,268),(10,644),(11,654) ， 
(12,26),(13,147),(14,800),(15,727),(16,781),(17,464)， 
(18,632),(19,275),(20,528),(21,496),(22,564),(23,15), 
(24,676),(25,586),(26,575),(27,295),(28,81)] 

计算 
(i,Bla-))=(i,525 » (31)-1)=[(0,525),(1,175),(2,328),(3,379), 
(4,396),(5,132),(6,44),(7,544),(8,724),(9,511),(10,440)， 
(11,686),(12,768),(13,256),(14,355),(15,388),(16,399)， 
(17,133),(18,314),(19,644)] 

发 现 ,j 二 10,i 二 19 时 ,出 现 相等 。 于 是 log:525 一 (29。10 十 19) mod 809 二 309。 


11.2 Pollard Rho 算法 


Rho 方法 是 可 适用 于 任意 群 的 通用 方法 。 其 基本 思想 是 : 通过 迭代 计算 一 个 随机 函 


数 f ,构造 一 个 序列 zi ,zz,…。 一 旦 在 序列 中 得 到 两 个 元 素 zi ,zj ,满足 xz; 二 zj, (i<j)， 
就 有 希望 计算 出 log.8。 为 了 节省 空间 ,通常 寻找 碰撞 zi 一 zx。 
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思考 11.2 ”什么 迭代 函数 能 够 在 找到 碰撞 后 求解 log。8。 
考虑 群 Z; ,p 为 素数 。 形 如 zx; 二 a%*B*” mod p 的 随机 函数 (构成 一 个 随机 图 )。 如 果 


me 第 11 章 离散 对 教 算法 mw 


找到 碰撞 zz 二 zi(i 宇 1), 则 a 二 a%pB%” mod p, 于 是 


a =pss% mod p 


log.B= (bi;—b;) (ai—az) mod n 
这 里 nn 是 a 的 阶 。 一 般 来 说 ,bs; 一 b; 二 0 的 概率 可 以 忽略 。 先 将 群 中 元 素 均匀 分 成 3 个 集 
合 ,z 在 不 同 集合 中 的 迭代 方程 不 同 , 便 于 更 快 地 找到 碰撞 。 令 


Br*r, xES, 
Zhi=f(z)= 4, Xi€E Ss 
a*Xis Xi€ESs 


为 了 在 迭代 中 保持 x; 二 a"B* 不 变 , 显 然 zi € Si 时 ,arit1pB%+! 二 Bxi 一 PapB* 二 a"ip*+， 
故 有 aiti 二 ai,bit 二 b; 十 1。 同 理 ,得 到 关于 a;,b; 的 递 推 关 系 , 即 


ys TiES, bit+l modn, Xi€ES 
ai+1= 42a: mod n, TiESs, pi 一 420 mod n, XIES;。 
ai 十 1 modn;s ZXiES, Bs XES, 


因此 ,如 果 将 (z+,a.65) 视 为 一 个 三 元 组 ,有 
(Brsasbi+1), ES 
f(x,a,b) = 4x’ ,2a,26), Ti ES 
(arya 十 1,0)， zi€ Ss 
于 是 可 以 得 到 算法 如 下 。 


算法 11.2: 计算 离散 对 数 的 Pollard Rho 算法 。 
输入 : 阶 为 素数 的 循环 群 G 的 一 个 生成 元 a ,一 个 元 素 BE G。 
输出 : 离散 对 数 z=og.8。 


Procedure f (x,a,b) 

{ 

If xE Si f<(B*x,a, (b+1) mod n); 
else if xES: f<- (x’,2a modn, 2b mod n); 
else 

fe (a* x, (at1) mod n,b); 

Return (f); 

} 

main() 

{ 

G=SiU ssUs;; 

(xrasb)f(1,0,0); 

(x' a'sb' ) f(x,a,b); 

While x#x' Do{ 

(x,ab) f(x,a,b); 


Ed A 
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(rab) Ea aD) 

If gcd(b'-b,n) 天 1 Return ("Failure"); 
Else Return ((a-a’) (b-b’) mod n))}; 

} 


例 11.2 整数 p= 二 809 是 素数 ,a 二 89,B 二 618, 计 算 log,B。 
将 所 有 数 分 成 三 个 集合 , 即 

Si 一 {(zEZao : Tl mod 3} 

S,= {xzE Zs0: TO0 mod 3} 

S: 一 (ZEZao: X=2 mod 3} 
从 (1,0,0) 开 始 迁 代 ,第 一 次 计算 运用 和 迭代 算式 1(zE Si) ,可 以 得 到 表 11. 1 所 列 的 

计算 过 程 。 
表 11.1 例 11.2 的 计算 过 程 


汪 (xivai,bi) (Zzi azi sb2i ) i (xisaisbi) (zz2i a2 boi ) 
(618,0,1) (76,0,2) 6 (488,1,5) (683,7,11) 
2 (76,0,2) (113,0,4) ? (555,2,5) (451,8,12) 
3 (46,0,3) (488,1,5) 8 (605,4,10) (344,9,13) 
4 (113,0,4) (605,4,10) 9 (451,5,10) (112,11,13) 
5 (349,1,4) (422,5,11) 10 (422,5,11) (422,11,15) 


可 见 , 发 生 碰撞 是 ro 一 zz 一 422,a 一 89 在 Zios 的 阶 为 101。 故 
logsB=(15—11)-!1(5—11) mod 101=6. 47! mod 101 一 49 

算法 中 如 果 gcd(% 一 0, 过 1, 则 算法 会 停止 并 输出 “Failure”, 这 种 情况 其 实 并 不 是 
完全 不 能 得 到 答案 ,如 果 gcd(2 一 0.2) 一 d ,可 证 明 同 余 方程 c(% 一 六 一 4 一 o mod 2 (c 一 
logsB) 有 4d 个 解 。 假 如 & 不 是 很 大 ,可 以 直接 算出 a 个 解 进行 验证 。 

最 后 分 析 该 算法 的 效率 。 同 前 面 因子 分 解 问题 的 Rho 算法 一 样 ,在 阶 循环 群 中 平 
均 经 过 O(Vn) 次 迭代 (随机 图 上 行走 的 圈 与 尾 的 长 度 和 的 期 望 值 , 即 p 的 期 望 值 ) ,会 发 生 
碰撞 。 


113 ”指数 演算 法 


下 面 看 一 个 对 特殊 的 群 有 效 的 算法 。 假 定 B= 二 {pi ,ps，… ,ps) 是 一 个 “ 较 小 ”素数 的 
集合 (因子 基 ) ,指数 演算 法 (index calculus) 的 基本 思想 利用 log,p;,1 三 i 三 B, 来 计算 
logs8。 如 何 计算 logsp; ,1 三 i 三 B, 选 取 1 二 x 三 n 一 2, 使 得 a* mod nn 的 素 因 子 都 在 集合 B 
中 ,考查 a* 志 pti p82…p mod nn, 即 

Zalogsp1 Hazlogspz 十 … 十 aslogcps mod (n—1) 
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这 个 方程 中 有 B 个 未 知 数 log,p;(1 三 i 三 B), 因 此 ,随机 选取 B 个 zj,1zxj 三 n 一 2， 
1<j 三 B, 可 以 得 到 B 个 相互 独立 的 同 余 方 程 , 即 
Zj=aylogsp1 tazlogspst**+ag logps mod (2 一 1)， 1<j<B 
由 这 些 方程 可 以 计算 出 log,p;,1<i<B。 
下 面 考虑 如 何 计算 log.8。 随 机 选择 ;,1 三 s 三 n 一 2, 使 得 pu mod ”的 素数 因子 都 在 
集合 B 中 ,于 是 
Ba'=pr pp?***pE modn 
即 
logsB+ scilogsp1t clogspst "cslogsps mod (n—1) 
在 该 式 中 ,除了 log.8 未 知 外 ,其 他 都 是 已 知 的。 于 是 可 以 求 出 log.8。 最 后 再 次 强 
调 : B 个 zj,1<zj 考 n 一 2,1<j 二 B 和 s ,1 过 sn 一 2, 都 是 随机 选择 的 ,保留 那些 满足 所 
有 分 解 后 的 因子 都 在 因子 基 B 中 的 随机 值 , 否 则 重 试 。 
例 11.3 设 群 Z; ,n 二 10007 为 素数 ,a 二 5,B 二 9451, 求 log。B。 
令 B= 二 {2,3,5,7}。 显 然 log;5 二 1, 故 只 需要 计算 logs2,logs3,logs7。 选 取 x 二 4063， 
5136,9865 ,计算 
546 mod 10007 一 42 一 2。3 .7 
5513% mod 10007 一 54 一 2。33 
5886 mod 10007 一 189 一 33。7 
于 是 有 
logs2 十 logs3 十 logs7 夺 4063 mod 10006 
logs2 十 3log; 3 三 5136 mod 10006 
3logs3 十 log;7 夺 9865 mod 10006 
可 以 求 得 log;2 二 6578,logs3 二 6190,logs7 二 1301。 下 面 计算 log;9451。 选 取 :一 7736 , 计 
算 9451。57736 mod 10007 一 8400 一 24。3。5:。7。 于 是 有 
logs9451 一 4logs2 十 logs3 十 logs7 一 ys mod 10006 
一 4。6578 十 6190 十 2X1 十 1301 一 7736 mod 10006 
一 6057 
容易 验证 ,5%s” mod 10007 一 9451。 


114 ”Pohlig-Hellman 算法 


该 算法 适用 于 群 Z; ,n 是 一 个 素数 .n 一 1 的 素数 因子 都 是 小 素数 的 情况 。 设 ”一 1 一 
qi gy …gk ,其 中 g; 是 素数 ,1 二 ik。 目 的 是 计算 logsB, 也 就 是 寻找 4a,0 三 a 三 n 一 2, 使 得 
a 二 B mod n。 如 果 能 求 得 
a modgi: i=]1,2,°…,k 
则 根据 中 国 剩余 定理 ,可 以 求 得 a mod (n 一 1) , 即 求 得 log。B8。 
为 了 求 a mod gq ,i 二 1,2,…,k, 设 
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a mod g’ =—=ao tag; +asg: 村 
其 中 ,0<aj 二 gq; ,0 三 j 过 e; 一 1。 下 面 的 目标 就 是 确定 w (0 二 j 坟 ej 一 1)。 
因 有 Ba mod n, 且 由 Fermat 定理 知 ,a”! 寺 1] mod n, 故 
Br Vs modn 
= 0tagtogd tt i VD/a mod n 
三 ao 5 mod n 
因此 ,为 了 确定 wo ,可 以 通过 计算 PB”? mod 2 然后 穷 举 wo Da mod n(s 二 0,1,2,*…， 
qi 一 1) ,如 果 发 现 两 者 相等 , 则 此 时 的 ;二 ao ,从 而 确定 了 oo 。 
下 面 进一步 确定 al。 令 二 Bp ”%。 因 为 
BED 三 ce-oo)o-D/4 mod n 
= td tt i dod/ mod n 
二 a "V/s mod n 
同样 地 , 穷 举 wo ?% mod n(s 二 0,1,2,…,g; 一 1), 如 果 发 现 两 者 相等 , 则 此 时 的 * 一 ai 。 
可 见 , 穷 举 wo 5 mod n(s 二 0,1,2,…,g; 一 1) 只 需要 一 次 ,将 其 保存 为 一 个 列表 ,不 妨 设 
为 L。 一般 地 , (使 用 数学 归纳 法 ) 假 设 已 经 求 得 ao.al,…,aj-1,1j<<ei 一 1。 令 B== 
Ba ‘sotomt™to1d ) ,因为 
BrDLd = aD/ mod n 


三 void tort tta, 1 Dn—D/dt! 


modn 
三 aj" Do mod n 
在 表 工 中 查询 满足 条 件 的 ;二 a)。 
如 上 所 述 ,可 以 确定 ao ,al，…,a。-1， 从 而 得 到 a mod gr ,i 二 1,2,…,k。 再 根据 中 国 
剩余 定理 ,可 以 求 得 a mod (n 一 1), 即 求 得 log.p8 。 
上 述 讨论 ,只 有 在 "一 1 的 素数 因子 是 小 素数 时 ,才能 有 效 地 分 解 2 一 1 求 得 o ,这 就 
是 Pohlig-Hellman 算法 的 适用 范围 。 
例 11.4 设 n==29,a 二 2,B 二 18。 计 算 log,B。 
由 于 nn 一 1 二 28 二 2*:。7!。 令 logsB 二 a, 下 面 计算 a mod 2 一 ao 十。2。 首 先 计算 
列表 工 : 
ao "dD/2 mod 29=2° mod 29=1 
al "D2 mod 29 一 2202 mod 29 一 28 
因为 Bn? mod 29 = 二 18*”? mod 29 一 28, 故 oo 王 1。 令 
B=Ba™! mod 29 王 18。2-: mod 29=9 
因为 
B11!/2? mod 29=9/ mod 29 一 28 
故 m 一 1。 因此,a mod 2 三 0 十 av 和 三 3。 
下 面 计算 a mod 7 一 ao ,首先 利用 公式 a ”mod 29,0 和 ss 过 6。 
计算 得 到 1(s*= 王 0) ,16(s 王 1) ,24(s* 一 2) ,7(s 一 3),25(s* 一 4),23(s 一 5),20(s 一 6)。 因 
为 Bp" ?mod 29 王 1828/7 mod 29 二 25, 故 qo 一 4。 因 此 a mod 7 一 ao 一 4。 最 后 ,得 到 同 余 
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方程 组 : 
a 三 3 mod 2 
a 三 4 mod 7! 


根据 中 国 剩余 定理 ,可 以 求 得 a 二 11 mod 28。 因 此 ,在 Zs 中 logs18 二 11。 


算法 11.3 计算 a6 ,a ,…,a,-1, 用 于 最 终 求 log8 mod n。 
输入 : n 一 1 的 因子 分 解 后 的 素数 因子 g, 及 其 宕 次 e。 
输出 : ao ,a ，… ,a.-1, 即 可 用 其 求 得 a mod 9 。 


Pohlig-Hellman(G,n,a,B,q,e) 
{ 
je 07 
BB; 
While j<c-1 
(8 
find i s.t. 6=a”™/®; 
ys 
Bi Ba se ; 
jj+1}; 
Return (ao…vac-l) 7 


} 


算法 的 时 间 复 杂 度 是 O(cg) ,经 过 观察 发 现 寻找 满足 6 二 a” 的 值 i, 可 视 为 解 一 个 特 
殊 的 离散 对 数 问题 , 即 i 二 logw6 ,元 素 “的 阶 是 g, 所 以 每 个 i 可 用 yg 时 间 计算 ,这 样 算 
法 的 复杂 度 可 降 为 O(c yg ) 。 


[1] 编写 程序 实现 本 章 介绍 的 4 种 离散 对 数 算法 ,并 进行 性 能 比较 。 
[2] 利用 高 性 能 计算 机 测试 计算 离散 对 数 问 题 的 4 种 算法 。 
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第 12 侣 
”其 他 高 级 应 用 ， 


本 章 最 后 给 出 一 些 高 级 应 用 ,如 GM 公 钥 密码 算法 和 CRT 在 秘密 共享 中 的 应 用 。 
本 章 重点 是 基于 CRT 的 秘密 共享 ,难度 是 GM 加 密 算法 。 


121 平方 剩余 在 GM 加 密 中 的 应 用 


针对 确定 性 加 密 存在 的 问题 ,1982 年 ,S， Goldwasser 与 S、Micali 提出 了 概率 公 钥 
密码 系统 (probabilistic encryption scheme, 也 有 文献 称 为 随机 化 加 密 ) 的 概念 ,简单 解释 
就 是 加 密 体制 对 同一 明文 进行 两 次 加 密 得 到 的 密 文 有 可 能 不 同 ,并 提出 了 一 个 概率 公 钥 
密码 系统 , 称 为 Goldwasser-Micali 公 钥 密码 系统 。 概 率 公 钥 密码 体制 可 达到 更 严格 的 安 
全 目标 , 即 语义 安全 (sematic security) 。 

定义 12.1( 多 项 式 安全 ) 如 果 一 个 被 动 敌手 不 能 在 期 望 的 多 项 式 时 间 内 选择 两 个 
明文 消息 ma ,zz , 且 以 大 于 1/2 的 概率 正确 区 分 ma ,ms 的 加 密 结果 。 

定理 12.1 一 个 公 钥 加 密 方案 是 语义 安全 的 , 当 且 仅 当 它 是 多 项 式 安全 的 。 

Goldwasser-Micali 加 密 体 制 的 安全 性 是 基于 平方 剩余 问题 的 困难 性 假设 。 平 方 剩 
余 问题 是 指 : 如 果 不 知 道 n 的 素数 因子 分 解 , 那 么 要 确定 模 ”的 平方 剩余 是 困难 的 。 

该 体制 是 概率 加 密 , 即 相同 的 明文 ,加 密 得 到 的 密 文 是 不 同 的 。 因 为 在 加 密 的 时 候 引 
入 了 随机 数 , 加 密 的 密 文 和 随机 数 有 关 ( 这 一 概率 加 密 的 思想 也 应 用 到 第 5. 4 节 ElGamal 
加 密 方案 和 第 7.4 节 NTRU 加 密 方案 中 ) 。 

Goldwasser-Micali 加 密 体制 如 下 。 


密 钥 生成 : 随机 选 定 大 素数 p 和 qd ,计算 "= pg。 随 机 选 定 一 个 正 整 数 1 满足 : 
L(t,p) 二 L(t,q) 一 一 1, 即 1 是 模 p 和 g 的 平方 非 剩 余 。(n,t) 是 公 钥 ,p 和 g 是 私 钥 。 
这 里 L(t1,p) 与 L(1,q) 均 表示 Legendre 符号 。 

加 密 过 程 : 设 要 加 密 的 明文 的 二 进 制 表示 为 4 二 mme…m,。 对 每 个 明文 比特 mm 
随机 选择 整数 x; ,1 二 zx 三 n 一 1, 计 算 : 


= 伍 modn, m;=1 


zx? modn, mi=0 


得 到 密 文 c= (ci ,cz ，*… ,cs)。 
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解密 过 程 : 待 解密 的 密 文 c= 二 (ci ,cs ,… ,cs)。 对 每 个 密 文 项 c;, 先 计算 出 Lc;,p) 
以 及 L(ci,q) 的 值 ,然后 令 
(人 1， 工 (ci , 力 ) 一 工 (ciy,g) 王 一 1 
“人 L(c, 力 一 L(cg) 一 1 
得 到 解密 后 的 明文 二 mms*…m, 。 


例 12.1 假设 私 钥 是 (5,7), 即 p 二 5,g 二 7, 选 择 1 一 3, 且 满足 其 为 p 和 g 的 平方 非 剩 
余 , 即 L(1,p)= 二 L(t1,q) 二 一 1, 公 和 钥 为 (35,3) ,明文 为 m= 二 (11010), 求 加 密 、 解 密 过 程 。 
解答 


加 密 方法 为 : “=| 
加 密 过 程 为 


tr modn, m;=1 
,明文 为 (11010) ,1 二 3。 
zmodn, mi=0 


a 三 3 *。 8* mod 35 三 17 mod 35 
cs 三 3 * 4* mod 35 二 13 mod 35 
cs 三 3: mod 35 三 9 mod 35 
G3 * 6* mod 35 三 3 mod 35 
ci 三 7: mod 35 三 14 mod 35 
得 到 的 密 文 为 (17,13,9,3,14)。 
下 面 讲 解 解密 过 程 。 


利用 私 钥 (5,7) 和 解密 算法 m 一 | 


对 密 文 (17,13,9,3,14) 进 行 解密 : 
L(ci' 力 ) 一 上 (17,5) 一 175-524 mod 5 一 一 1 
L(ciyg) 一 上 (5,7) 一 59-54 mod 7 一 一 1 
故 mi 二 1。 同 理 可 得 ms 二 二 1,ms 二 ms 一 0, 从 而 明文 为 (11010)。 
讨论 : 
如 果 在 选取 随机 数 的 时 候 , 恰 为 p 或 者 g 的 倍数 , 则 在 解密 时 得 到 的 Legendre 值 必 
有 一 个 为 0, 这 时 解 出 的 明文 比特 视 为 1, 即 当 且 仅 当 L(ci,p) 二 L(ci,q) 二 1 时 ,返回 0; 否 
则 为 1。 
效率 : 
Goldwasser-Micali 的 加 密 方法 的 主要 问题 是 : 由 于 是 逐 比 特 加 密 , 加 密 后 数据 扩展 
了 logzn 倍 (从 1 个 比特 的 明文 转变 为 logsn 长 的 密 文 ) ,因此 应 用 该 密码 体制 进行 加 密 时 
运算 量 大 、 速 度 慢 ,只 适用 于 单个 二 进 制 比特 的 加 密 和 解密 。 
安全 性 分 析 : 
首先 给 出 几 个 事实 。 
(1) 设 p 是 一 个 奇 素数 ,a 是 Z; 的 一 个 生成 元 , 则 aEZz 为 模 p 的 平方 剩余 , 当 且 
仅 当 a==a' mod p, 其 中 i 是 一 个 偶数 ,因此 |Q, | 二 (p 一 1)/2,1Q, | 二 (p 一 1)/2, 即 Z2 中 
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平方 剩余 和 平方 非 剩余 各 占 一 半 。 

(2) 设 n 为 两 个 互 不 相同 的 素数 p 和 g 的 乘积 , 则 aEZ; 是 模 n 的 平方 剩余 , 当 且 仅 
当 a€Q,,a€Q,( 这 里 Q,,Q, 分 别 表示 模 p 和 模 g 的 平方 剩余 )。 因 此 ,|1Q, | 二 1Q,|。 
IQ®|=(%—D)(g—1/4,1Q,|=3(p—1)(g—1)/4。 


(3) 设 3 为 一 个 奇 整数 ,并 令 ,= [aE 上 (人 = 模 ”的 伪 平 方 集 定义 为 


了 ,一 Q., 以 Q, 表 示 。 


(4) 设 "一 2d 为 两 个 互 不 相同 的 奇 素数 的 乘积 , 则 |Q, | 二 |@|==(p 一 1)(g 一 1)/4， 
即 几 中 一 半 元 素 为 平方 剩余 ,一 半 元 素 为 伪 平 方 。 
由 于 xz 是 从 Z 中 随机 选择 的 ,zs mod n 是 模 n 的 一 个 随机 平方 剩余 ,zz? 是 模 的 


一 个 随机 伪 平 方 。 截获 者 获取 密 文 ,计算 雅克 比 符号 | < ] 一 1。 但 是 ,不 论 mw, 一 0,1, 均 


有 全 一 1, 所 以 截获 者 得 不 到 关于 明文 的 任何 信息 ,只 能 猜测 。 因 此 ,Goldwasser-Micali 
方案 是 语义 安全 的 。 


1223 ”CRT 在 秘密 共享 中 的 应 用 


12.2.1 秘密 共享 的 概念 


首先 思考 两 个 场景 : 

(1) 某 个 银行 有 三 位 出 纳 , 他 们 每 天 都 要 开启 保险 库 ,为 防止 每 位 出 纳 可 能 出 现 的 监 
守 自 盗 行 为 ,银行 规定 至 少 有 两 位 出 纳 在 场 才能 开启 保险 库 。 

(2) 核 按钮 通常 掌握 在 三 方 手 上 总统、 国防 部 长 .国防 部 ,只 有 当 三 方 中 的 两 方 在 场 
时 才 可 以 是 最 终 控制 该 按钮 。 

上 述 两 个 问题 可 以 利用 秘密 共享 (secret sharing) 方 案 来 实现 。 秘 密 分 享 就 是 将 一 个 
密 钥 分 成 许多 份额 (share, 又 叫 影子 shadow) ,然后 秘密 地 分 配给 一 些 有 关 人 员 , 使 得 某 
些 有 关 人 员 在 同时 拿 出 他 们 的 份额 后 可 以 重建 密 钥 ,而 另外 一 些 有 关 人 员 在 同时 拿 出 他 
们 的 份额 后 不 能 重建 密 钥 。 

严格 地 说 ,秘密 共享 技术 的 基本 要 求 是 将 秘密 分 成 n 个 份额 51 52，…，s 

(1) 已 知 任意 1 个 s; 易 于 求 出 

(2) 已 知 任意 1 一 1 个 s; 或 更 少 的 si ,不 能 确定 &。 

因此 ,这 种 秘密 共享 也 称 为 (1,n) 门 限 (threshold) 方 案 (1 和 <n)。 

秘密 共享 的 概念 是 Adi Shamir 于 1979 年 独自 给 出 的 ,Shamir 提出 的 方案 是 根据 
Lagrange 插值 公式 构造 了 (1 二 nn) 门 限 方案 , 即 为 了 重 构 1 一 1 次 多 项 式 , 该 多 项 式 有 1 个 
未 知 的 多 项 式 系数 ,需要 知道 上 个 点 才能 重 构 多 项 式 曲 线 。 如 果 只 知道 1 一 1 个 点 , 则 完 
全 无 法 确定 多 项 式 系 数 , 其 示意 图 见 图 12. 1。 
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图 12.1 Adi Shamir 秘密 共享 方案 


秘密 共享 技术 提供 了 密 钥 抗 泄 露 的 可 靠 性 ,可 以 与 其 他 密码 学 技术 融合 在 一 起 ,提供 
密码 学 技术 的 健壮 性 (提高 抗 共 谋 、 容 错 、 容 人 侵 等 能 力 )。 秘 密 共享 构成 了 门限 密码 学 
(Threshold Cryptography) 的 基础 。 


12.2.2 基于 CRT 的 简单 门限 方案 


基于 中 国 剩 余 定理 可 以 构造 (1,n) 门 限 方案 ,因为 它 有 着 类 似 于 方程 组 的 结构 。 

(1) 参数 设置 。 设 mi ,ms ,… ,ms 是 n 个 严格 递增 的 大 于 1 的 整数 , 且 满 足 gcd(m;， 
10) 一 1(Vij si 尖 让 :以 及 m0- 二 mmz…m。 这 说 明 ,1 一 1 个 m; 乘积 的 最 大 
值 ,小 于 1 个 m; 乘积 的 最 小 值 。 分 发 的 份额 是 秘密 对 这 个 不 同 模 数 的 剩余 。 需 要 共 
享 的 秘密 数据 满足 区 ,sy,_i4s 二 kh 二 mms…m,。 因 此 ,秘密 至 少 需要 1 个 方程 才 
能 确定 。 

(2) 秘密 分 发 。 计 算 M 二 mmz*…m, ,si 三 RR (mod m2;) (i 二 1,2,…,n)。(sismi，,M) 是 
分 发 的 份额 。 集 合 {Gs; ,mi ,MD))'-1 即 构成 了 一 个 (1,n) 门 限 方案 的 份额 集合 。 

(3) 秘密 重 构 。 在 1 个 参与 者 ( 记 为 谋 ,is，,… .is) 中 ,每 个 i 计算 

Mi =M/m; 
N; 一 M (mod m; ) 
yi =s, MN, 

结合 起 来 ,根据 中 国 剩余 定理 可 求 得 

k= Dy (mo Tm, | 
j=1 j=1 

显然 , 若 参与 者 少 于 上 个 , 则 无 法 求 出 秘密 &。 

例 12.2 设 1=3,n 二 5,mi 二 97 ,mz 二 98,ms 二 99,ma 二 101,ms 二 103, 秘 密 数据 == 
671875 ,满足 10403 二 mms 二 k 二 mmzms 一 941094。 

计算 M==mimzmsmams 二 9790200882,s; 三 k(mod m1) (i 二 1,2,…,5) 得 $1 一 53,sz 一 
85,s 二 61,54 二 23,5s 二 6。5 个 份额 为 (53, mi 一 97, M = 二 9790200882), (85, 98， 
9790200882),(61,99,9790200882),(23,101,9790200882),(6.,103,9790200882)。 

现在 假定 计 ,iz .is 联合 起 来 计算 ;, 分 别 计算 
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Mi=M/mi=100929906 
Ni 三 Mi'! (mod m1)=95 
AM: 一 My/maz 一 99900009 
N;, 三 Mi (mod m;) 三 13 
M;=M/m;s=98890918 
N; 三 Ms! (mod ms)=31 
得 到 
ks Mi Ni ss M; Nt ss Ms Ns (mod mm ms) 
三 53。100929906。95 十 85。99900009。13 
十 61。98890918。31(mod 97。98。99) 
三 805574312593(mod 941094) 
三 671875 
秘密 正确 。 现 在 假定 寞 ,is ,is 联合 起 来 计算 ,分 别 计算 
Mi=M/m =100929906 
eae m1) 三 95 
M,=M/m=96932682 
Ni 三 M7 (mod m1 ) 三 61 
Ms; 一 M/mas 一 95050494 
N; 三 M5 (mod ms ) 生 100 
得 到 
ks Mi Ni 十 seM Ntss Ms Ns (mod mnuams) 
三 53 。100929906 。 95 十 23 。96932682。61 
十 6。 95050494。 100(mod 97。101。103) 
三 70120825956 (mod 1009091) 
三 671875 
秘密 正确 。 现 在 假定 i .is 联合 起 来 计算 ,分 别 计算 
ks Mi Nits MN (mod mm ) 
寺 53 。100929906 。 95 十 23 。 96932682 。61(mod 97。101) 
三 644178629556(mod 9797) 
三 5679 
得 到 的 秘密 不 正确 。 其 实 ,原因 是 发 生 了 “ 折 回 ”, 即 671875 mod 9797 一 5679 。 
容易 发 现 这 一 方案 的 问题 是 区 间 [msmsoi…mm4-itz mamz*…m] 不 够 大 ,可 以 猜测 出 
kk。 于 是 引出 了 12. 2. 3 节 要 介绍 的 方案 Asmuth-Bloom 秘密 共享 方案 。 


12.2.3 Asmuth-Bloom 秘密 共享 方案 


有 了 上 一 节 的 铺垫 ,本 节 的 内 容 就 容易 理解 了 。 将 上 一 节 的 方案 进行 推广 ,Asmuth 
和 Bloom 于 1980 年 提出 了 基于 中 国 剩 余 定理 (1,n) 门 限 方案 ,同上 ,份额 是 由 秘密 k 推算 
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出 的 数 y 对 不 同 模 数 mi ,ma ,… ,rm 的 剩余 。 

(1) 参数 设置 。 令 g 是 一 个 大 素数 ,ma ,ms，…,m, 是 7 个 严格 递增 的 数 , 且 满足 下 列 
条 件 。 

© q>A。 

© gcd(mi,m;)=1, Vi,j,izj。 

©@ gcd(g,mi)=1,i=1,2,°,n。 


@M= Ti > a 四 

条 件 外 表明 秘密 必须 小 于 gq; 条 件 @ 指 出 个 模 数 两 两 互 素 (可 构成 中 国 剩 余 定理 
的 方程 ) ;条 件 @ 表 示 n 个 模 数 都 与 g 互 素 ;条 件 @ 指 出 ,1 一 1 个 模 数 m; 之 积 的 最 大 值 , 即 
使 乘 上 g, 也 没有 1 个 模 数 m; 之 积 的 最 小 值 M 大 。 这 是 Asmuth-Bloom 秘密 共享 方案 对 
上 一 节 方 案 的 主要 扩展 之 处 。 上 一 节 的 方案 中 :一 1 个 模 数 m; 之 积 最 大 值 Max(I 一 ) 
与 1 个 模 数 m; 之 积 最 小 值 Min(11') 之 间 至 少 可 以 容纳 一 个 待 共享 的 秘密 ,而 扩展 方案 则 
可 以 容纳 更 多 的 待 共享 的 秘密 。 

(2) 秘密 分 发 。 

@ 首先 ,随机 选取 整数 A 满足 0ALM/g 二 1, 并 公布 4 和 A。 

Q@ 其 次 ,y=k 十 Ag, 则 有 y<g 二 Ag 二 (A 十 Dg<LM/g」* gM, 即 秘密 放大 了 Ag。 

@ 最 后 ,计算 yi; 三 y mod mi (i 二 1,2,… ,nn)。(mi,yi) 即 为 一 个 份额 ,将 其 分 别传 送 
给 个 用 户 。 

集合 {Gmi5yi)1i 王 1,2,…,n} 即 构成 了 一 个 (4,n) 门 限 方案 。 

(3) 秘密 重 构 。 当 1 个 参与 者 鹿 ,is，… ,i 提供 出 自己 的 子 份额 ,由 {Gx ,yi ) |i 二 1， 
2,…,t)} 建 立方 程 组 

yy mod ms; 


yy mod ms, 


yy mod mi 


根据 中 国 剩余 定理 可 求 得 


yy mod M’ 


其 中 , M' = [|[ m 宇 M。 然后 由 y 一 Ag 即 得 秘密 k。 
1 


正确 性 证 明 : 

因为 由 上 个 成 员 的 共享 计算 得 到 的 模 满足 条 件 ><M<M' ,所 以 解 出 的 y 是 唯一 的 ， 
就 是 y mod M'。 再 由 y 一 Ag 即 得 秘密 人 。 

若 仅 有 :一 1 个 参与 者 提供 自己 的 份额 (m;,y;) ,条件 是 y 硅 y mod M ,但 只 能 求 得 
六 三 y mod M', 式 中 MV 一 卫生 1mi ,y 发 生 了 “ 折 回 ”( 即 yM')。 由 条 件 @ 得 M'<M/g， 
即 M/M >q。 


下 面 说 明 这 种 * 折 回 "至 少 有 9 次 。 令 > 一 多 十 aM', 其 中 0<a<< 遍 二 说 :由 于 
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M/M'>q, CM,q) 王 1, 当 a 在 [0,q] 之 间 变 化 时 .y 十 aM 都 是 y 的 可 能 取 值 , 共 g 十 1 个 ， 
因此 无 法 确定 哪个 是 正确 的 y。 

例 12.3 设 秘密 4 一 4, 要 求 构建 一 个 (3,5) 门 限 方案 。 

(1) 参数 设置 。 设 选取 素数 g 王 7.5 个 模 数 分 别 为 xm 二 17,m; 一 19 ,mas 二 23,m 
29,ms 二 31。 容 易 验 证 模 数 满足 前 3 个 条 件 。 

又 因为 M==mi * mz * ms 二 17* 19*。23 二 7429 之 gqg* my* ms 二 7。29。31 二 6293, 则 
第 4 个 条 件 也 满足 。 

7429 


(2) 秘密 分 发 。 在 [0 “7 | 一 1] 二 [0,1060] 之 间 随 机 取 A 二 117, 求 得 > 一人 十 49 一 41 
117 .7 一 823 ,然后 计算 


yy mod m=823 mod 177 

三 y mod mm; 三 823 mod 19=6 

ys 三 y mod ms 三 823 mod 23 三 18 

=y mod m=823 mod 29=11 

ys 三 y mod ms 三 823 mod 31 三 17 
{(17,7),(19,6),(23,18),(29,11),(31,17)} 即 构成 一 个 (3,5) 门 限 方案 。 
(3) 秘密 重 构 。 若 第 1.3、5 个 成 员 想 恢复 秘密 , 则 他 们 提供 自己 的 份额 {(17,7)， 

(23,18),(29,11)} ,建立 方程 组 


y=7 mod 17 
y 三 18 mod 23 
y=11 mod 29 
由 此 得 
M 王 17。23。29 王 11339 
Mi: 一 23。29 一 667 Mi 一 13 
M: 一 17。29 一 493 Mz 一 7 
M: 王 17。23 王 391 Mi 一 27 
由 中 国 剩余 定理 得 


y 三 (7。667。13 十 18， 493。7 十 11 * 391 * 27) mod 11339 三 823 
所 以 ,恢复 秘密 为 k= 二 y 一 Ag 二 823 一 117* 7 一 4。 


[1] 编写 程序 实现 Goldwasser-Micali 加 密 体 制 。 
[2] 编写 程序 实现 Asmuth-Bloom 秘密 共享 机 制 。 
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